Mention RGPD dans un email : obligation et modèle 2026
Faut-il des mentions RGPD dans chaque email ? Obligation réelle (Art. 13 RGPD), modèles de mentions à copier-coller et erreurs à éviter. Le point clair en 2026.
- La règle de base : informer une seule fois (article 13 RGPD)
- Faut-il des mentions RGPD dans chaque email ?
- Ce que doit contenir l’information initiale
- Les cas où un rappel dans l’email est utile
- Prospection, newsletter, email transactionnel : des régimes différents
- Le lien de désinscription : lui, est obligatoire
- Prospection B2B : un régime différent du B2C
- Modèles de mentions à copier-coller
- Et la signature d’email professionnelle ?
- Comment prouver que vous avez informé la personne ?
- Erreurs fréquentes à éviter
- Ce qu’il faut retenir
- FAQ
L’essentiel. Non, vous n’avez pas l’obligation d’insérer des mentions RGPD dans chaque email. Le RGPD (article 13) impose d’informer la personne une seule fois, au moment où ses données sont collectées — pas à chaque envoi. En revanche, deux réflexes restent indispensables : rappeler l’origine des données dans les newsletters (notamment après une longue inactivité) et intégrer un lien de désinscription dans tout email de prospection. Ce sont deux obligations distinctes de la simple information RGPD.
L’une des questions les plus fréquentes quand on met en place une newsletter ou une campagne d’emailing est de savoir où et quand afficher les mentions RGPD. Faut-il les répéter sur chaque message ? Suffit-il de les afficher au moment de l’inscription ? Que risque-t-on à ne pas les mettre ? La réponse est plus simple qu’il n’y paraît d’un point de vue juridique — mais elle se complique dès que l’on distingue les différents types d’emails (transactionnel, newsletter, prospection). Cet article fait le point complet, avec des modèles de mentions à copier-coller.
La règle de base : informer une seule fois (article 13 RGPD)
Le point de départ est l’article 13 du RGPD, qui régit l’information de la personne lorsque ses données sont collectées directement auprès d’elle :
Article 13 — Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
- Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes […]
Le règlement fixe donc un moment précis : au moment de la collecte. Quand une personne s’inscrit à votre newsletter, remplit un formulaire de contact ou crée un compte, c’est à cet instant que l’information doit lui être délivrée.
Et le texte prévoit expressément une exception, à son paragraphe 4 :
- Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.
Autrement dit : dès lors que la personne a déjà été informée, le responsable du traitement n’a pas à la réinformer à chaque interaction. C’est exactement la solution qui existait déjà sous l’empire de la directive de 1995 et de la loi Informatique et Libertés de 1978 : l’obligation légale est d’informer une fois, et une seule.
Faut-il des mentions RGPD dans chaque email ?
Non. Vous n’êtes pas tenu d’ajouter les mentions RGPD à chaque email que vous envoyez. Si la personne a été correctement informée au moment de la collecte de ses données — typiquement lors de son inscription — l’obligation d’information de l’article 13 est satisfaite. La répéter dans chaque message n’ajoute rien sur le plan juridique.
Cette réponse vaut pour l’obligation d’information au sens strict. Mais elle ne dispense pas des autres obligations qui, elles, peuvent imposer des mentions récurrentes :
| Type d’obligation | Mention dans chaque email ? |
|---|---|
| Information RGPD (art. 13) | Non — une seule fois, à la collecte |
| Lien de désinscription (prospection) | Oui — obligatoire dans chaque email de prospection |
| Rappel de l’origine des données (bonne pratique) | Recommandé, surtout en cas d’inactivité prolongée |
| Mentions légales de l’éditeur (identité, contact) | Recommandé en pied d’email commercial |
La confusion vient souvent du fait que l’on mélange trois obligations distinctes : l’information RGPD, le droit de désinscription (issu de la réglementation ePrivacy et du Code des postes et des communications électroniques), et les mentions légales de l’éditeur. Seule la première relève de l’article 13 et n’a pas à être répétée.
Ce que doit contenir l’information initiale
Puisque l’obligation se concentre sur le moment de la collecte, autant s’assurer que cette information initiale est complète. L’article 13 impose de communiquer, au minimum :
| Information à fournir | Précision |
|---|---|
| Identité et coordonnées du responsable de traitement | Qui collecte les données |
| Coordonnées du DPO le cas échéant | Si un délégué a été désigné |
| Finalités du traitement | Pourquoi les données sont collectées (ex. envoi de la newsletter) |
| Base légale du traitement | Consentement, contrat, intérêt légitime… |
| Destinataires des données | Prestataires, sous-traitants (routeur d’emailing…) |
| Durée de conservation | Combien de temps les données sont conservées |
| Droits de la personne | Accès, rectification, effacement, opposition, retrait du consentement |
| Droit d’introduire une réclamation | Auprès de la CNIL |
Cette information doit être fournie de manière concise, transparente, compréhensible et aisément accessible, dans des termes clairs et simples — c’est l’exigence de l’article 12, dont nous détaillons la mise en œuvre dans notre guide sur les bonnes pratiques de l’article 12. En pratique, on renvoie généralement vers une politique de confidentialité complète, tout en affichant une mention synthétique au point de collecte.
Les cas où un rappel dans l’email est utile
Si le rappel des mentions RGPD n’est pas une obligation dans chaque email, il constitue souvent une bonne pratique, pour une raison très concrète : la mémoire des abonnés.
Lorsqu’une organisation met en place une newsletter puis reste silencieuse pendant plusieurs mois, certains abonnés oublient s’être inscrits. À la reprise des envois, ils s’interrogent : « Comment ont-ils obtenu mon adresse ? » Cela génère des plaintes, des signalements pour spam et une dégradation de la délivrabilité. Rappeler brièvement l’origine des données (« Vous recevez cet email car vous vous êtes inscrit à notre newsletter le… ») répond à cette difficulté — non pas au titre d’une obligation, mais à titre de rappel de transparence et d’hygiène relationnelle.
C’est d’ailleurs la logique que nous appliquons : les mentions sont affichées deux fois — lors de l’inscription, puis dans le premier email de bienvenue. Ce double affichage sécurise la preuve de l’information et rassure l’abonné.
Prospection, newsletter, email transactionnel : des régimes différents
Tous les emails ne se valent pas au regard du droit. Trois catégories doivent être distinguées.
- L’email transactionnel (confirmation de commande, facture, réinitialisation de mot de passe) repose généralement sur l’exécution du contrat ou une obligation légale. Il n’a pas besoin de consentement et n’exige pas de lien de désinscription.
- La newsletter et l’email de prospection relèvent d’un autre régime. L’envoi de messages commerciaux par voie électronique est encadré par la réglementation ePrivacy et l’article L.34-5 du Code des postes et des communications électroniques. Le principe : consentement préalable pour la prospection vers des particuliers (logique d’opt-in), avec une exception dite du « soft opt-in » pour les clients existants sollicités sur des produits ou services analogues. La base légale et la question du consentement sont donc centrales.
Pour bien cadrer vos campagnes, notre guide sur la prospection commerciale et le RGPD détaille les règles applicables au B2C comme au B2B, et notre article sur l’opt-in et l’opt-out précise quand le consentement est requis.
Le lien de désinscription : lui, est obligatoire
C’est le point à ne pas confondre avec les mentions RGPD. Tout email de prospection doit comporter un moyen simple et gratuit de se désinscrire. Cette obligation découle de la réglementation ePrivacy et du droit d’opposition. Concrètement :
- un lien de désinscription doit figurer dans chaque email de prospection ;
- la désinscription doit être simple, gratuite et immédiate (un clic idéalement, sans reconnexion imposée) ;
- la demande doit être traitée sans délai, et l’adresse ne doit plus être sollicitée.
Ce droit prolonge le droit d’opposition prévu par le RGPD. Un logiciel RGPD permet d’industrialiser le suivi des consentements collectés et des désinscriptions, afin de garantir qu’une adresse désinscrite ne soit plus jamais reciblée.
Prospection B2B : un régime différent du B2C
Beaucoup d’organisations envoient des emails à des contacts professionnels et se demandent si les mêmes règles s’appliquent. La réponse est nuancée : la prospection B2B (vers l’adresse professionnelle d’une personne, dans le cadre de son activité) suit un régime plus souple que la prospection vers des particuliers.
Selon la doctrine de la CNIL, un message de prospection peut être adressé à un professionnel sans consentement préalable, à deux conditions :
- l’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée (on ne peut pas lui proposer n’importe quel produit) ;
- la personne doit être informée de l’utilisation de son adresse et pouvoir s’opposer simplement à toute nouvelle sollicitation (lien de désinscription).
Dans ce cadre, la base légale mobilisée est généralement l’intérêt légitime plutôt que le consentement. Attention toutefois : l’adresse d’une personne physique identifiée (prenom.nom@entreprise.fr) reste une donnée personnelle, même professionnelle. L’information et le droit d’opposition demeurent donc obligatoires, et le lien de désinscription reste requis dans chaque email. La frontière entre B2B assoupli et B2C sous consentement dépend donc du public réellement visé et du contenu de la sollicitation.
Modèles de mentions à copier-coller
Voici trois modèles adaptables aux situations courantes.
Modèle 1 — Mention au point d’inscription (formulaire de newsletter)
En vous inscrivant, vous acceptez de recevoir notre newsletter. Vos données (adresse email) sont traitées par [NOM DU RESPONSABLE] aux seules fins d’envoi de cette newsletter, sur la base de votre consentement. Elles sont conservées jusqu’à votre désinscription. Vous disposez d’un droit d’accès, de rectification, d’effacement et d’opposition, ainsi que du droit de retirer votre consentement à tout moment. Pour l’exercer : [EMAIL / LIEN]. Politique de confidentialité : [LIEN].
Modèle 2 — Rappel en pied de newsletter
Vous recevez cet email car vous vous êtes inscrit à la newsletter de [NOM]. Pour ne plus recevoir nos messages, cliquez ici : [LIEN DE DÉSINSCRIPTION]. Vos droits et le traitement de vos données : [LIEN POLITIQUE DE CONFIDENTIALITÉ].
Modèle 3 — Mention dans le premier email de bienvenue
Bienvenue ! Vous vous êtes inscrit à notre newsletter le [DATE]. À ce titre, nous traitons votre adresse email pour vous adresser nos contenus. Vous pouvez à tout moment vous désinscrire via le lien présent dans chaque email, ou exercer vos droits (accès, rectification, effacement, opposition, retrait du consentement) en écrivant à [EMAIL]. En savoir plus : [POLITIQUE DE CONFIDENTIALITÉ].
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — juillet 2026.
Pour recueillir un consentement valablement documenté, notre modèle de consentement RGPD fournit une base réutilisable.
Et la signature d’email professionnelle ?
Un email professionnel contient lui-même des données personnelles : nom, fonction, coordonnées de l’expéditeur et du destinataire. Certaines entreprises ajoutent en pied de message une clause de confidentialité (« Ce message est confidentiel et destiné exclusivement à son destinataire… »). Cette mention relève davantage du secret des correspondances que du RGPD : sa portée juridique est limitée, mais elle reste utile en cas d’envoi erroné. Pour aller plus loin sur ce point, voir notre modèle de clause de confidentialité.
Comment prouver que vous avez informé la personne ?
Le RGPD repose sur le principe de responsabilité (accountability) : il ne suffit pas d’être en règle, il faut pouvoir le démontrer. Puisque l’obligation d’information se satisfait une seule fois, à la collecte, c’est cette collecte qu’il faut savoir documenter en cas de contrôle.
Trois éléments méritent d’être conservés :
- La preuve de l’inscription : date, heure, adresse email, et idéalement l’origine (formulaire, page, campagne). Un simple horodatage stocké par votre outil d’emailing suffit généralement.
- La version de la mention affichée : conservez une copie du texte d’information et du formulaire tel qu’il était présenté au moment de la collecte. Les mentions évoluent ; savoir ce que la personne a réellement vu est précieux.
- La preuve du recueil du consentement lorsqu’il constitue la base légale : case cochée, double opt-in, journal des consentements.
Ces éléments constituent votre ligne de défense en cas de plainte ou de contrôle. Sans eux, vous ne pourrez pas établir que l’information a bien été délivrée, quand bien même elle l’aurait été.
Erreurs fréquentes à éviter
- Répéter par excès de zèle un pavé RGPD complet dans chaque email. C’est inutile juridiquement et cela alourdit le message. Un lien vers la politique de confidentialité suffit.
- Oublier le lien de désinscription. C’est l’erreur la plus sanctionnée en pratique. Le lien est obligatoire dans chaque email de prospection.
- Confondre information RGPD et consentement. Informer n’est pas recueillir un consentement. Pour la prospection B2C, le consentement doit être recueilli en amont.
- Réactiver une base « dormante » sans précaution. Relancer d’anciens contacts après des mois de silence, sans rappel de l’origine des données, génère des plaintes. Un rappel de transparence limite le risque.
- Ne pas conserver la preuve du consentement. En cas de contrôle, vous devez pouvoir démontrer quand et comment la personne s’est inscrite.
Ce qu’il faut retenir
- L’obligation d’information de l’article 13 se satisfait une seule fois, au moment de la collecte : pas de mentions RGPD à répéter dans chaque email.
- Le lien de désinscription, lui, est obligatoire dans chaque email de prospection.
- Distinguez les emails transactionnels (pas de désinscription), les newsletters et la prospection (consentement + désinscription).
- Rappeler l’origine des données dans les newsletters est une bonne pratique qui améliore la délivrabilité et réduit les plaintes.
- Conservez la preuve du consentement et de l’information initiale.
FAQ
Faut-il mettre les mentions RGPD dans chaque email ?
Non. L’article 13 du RGPD impose d’informer la personne une seule fois, au moment de la collecte de ses données. Si l’information a été correctement délivrée à l’inscription, il n’est pas nécessaire de la répéter dans chaque message. Seul le lien de désinscription doit, lui, figurer dans chaque email de prospection.
Quelle mention RGPD mettre en bas d’une newsletter ?
Une mention synthétique suffit : rappel de l’origine des données (« Vous recevez cet email car vous vous êtes inscrit… »), lien de désinscription, et lien vers la politique de confidentialité pour l’exercice des droits. Il n’est pas nécessaire de reproduire l’intégralité de l’information de l’article 13 : un lien vers la politique de confidentialité est admis.
Le lien de désinscription est-il obligatoire dans chaque email ?
Oui, pour les emails de prospection. La réglementation ePrivacy et le Code des postes et des communications électroniques imposent d’offrir un moyen simple et gratuit de s’opposer à la réception de nouveaux messages, dans chaque envoi. Ce lien prolonge le droit d’opposition prévu par le RGPD.
Un email transactionnel doit-il contenir des mentions RGPD ?
Un email purement transactionnel (confirmation de commande, facture, réinitialisation de mot de passe) repose sur l’exécution du contrat ou une obligation légale : il n’exige ni consentement ni lien de désinscription. Il n’a pas besoin de mentions RGPD spécifiques, dès lors que la personne a été informée au moment de la collecte.
Quelle base légale pour l’envoi d’une newsletter ?
Pour une newsletter adressée à des particuliers, la base légale est généralement le consentement (opt-in), recueilli au moment de l’inscription. Dans certains contextes B2B ou pour des clients existants sollicités sur des produits analogues, l’intérêt légitime peut être mobilisé, sous conditions. La qualification dépend du public visé et du mode de collecte.
Combien de temps conserver les adresses email d’une newsletter ?
Tant que la personne reste abonnée et n’a pas exercé son droit d’opposition ou retiré son consentement. Après désinscription, l’adresse doit cesser d’être utilisée à des fins de prospection ; elle peut être conservée en liste d’exclusion (pour ne plus solliciter la personne) pendant une durée proportionnée, puis supprimée.