Depuis mai 2018, le Règlement Général sur la Protection des Données (RGPD) a transformé les règles du jeu de l’email marketing en Europe. Les sanctions sont réelles : la CNIL a prononcé en 2024 plus de 50 millions d’euros d’amendes liées à des pratiques non conformes en matière de marketing. Et si les grandes entreprises font la une, les PME et les indépendants ne sont pas épargnés.
Cette checklist vous donne les 12 points de contrôle essentiels pour vous assurer que votre email marketing est conforme au RGPD — sans jargon juridique inutile.
Pourquoi le RGPD concerne tous les acteurs de l’email marketing
Deux erreurs fréquentes méritent d’être déconstruites :
“Je suis trop petit pour que ça me concerne.” Faux. Le RGPD s’applique à toute entreprise qui traite des données de résidents européens, quelle que soit sa taille. La CNIL a sanctionné des auto-entrepreneurs et des associations.
“Mon ESP gère ça à ma place.” Faux. Votre ESP est un sous-traitant — il traite les données pour votre compte. La responsabilité principale reste la vôtre en tant que responsable de traitement.
Les 12 points de la checklist RGPD email marketing
✅ Point 1 : Base légale du traitement
Ce que ça signifie : Chaque traitement de données doit reposer sur l’une des 6 bases légales du RGPD. Pour l’email marketing, les deux plus utilisées sont :
- Le consentement : La personne a donné son accord explicite, libre, spécifique et éclairé pour recevoir vos emails.
- L’intérêt légitime : Vous avez un intérêt commercial légitime qui ne prime pas sur les droits de la personne. S’applique typiquement aux clients existants pour des offres similaires.
Action : Documentez la base légale de chaque liste email que vous utilisez. “Cette liste = consentement collecté via formulaire de contact / cette liste = clients ayant acheté entre 2023 et 2024.”
✅ Point 2 : Consentement valide
Si vous utilisez le consentement comme base légale, il doit respecter 4 critères :
Libre : Pas de case pré-cochée, pas de blocage de service si refus. Spécifique : Le consentement doit mentionner explicitement l’email marketing — un consentement générique “j’accepte les conditions” ne suffit pas. Éclairé : La personne doit savoir qui traite ses données, pourquoi, comment. Univoque : Un acte positif clair — cocher une case vide, pas une case pré-cochée.
Action : Auditez tous vos formulaires de collecte. Supprimez les cases pré-cochées. Ajoutez une mention explicite sur l’usage email marketing.
✅ Point 3 : Preuve du consentement
Le RGPD vous place dans une position d’inversement de la charge de la preuve : c’est à vous de prouver que la personne a consenti, pas à elle de prouver qu’elle n’a pas consenti.
Ce que vous devez conserver pour chaque abonné :
- Date et heure d’inscription
- Source (quel formulaire, quelle page)
- Adresse IP au moment de l’inscription
- Texte exact de la mention de consentement affichée
- Si double opt-in : date de confirmation + email de confirmation envoyé
La meilleure façon d’archiver vos preuves de consentement est d’utiliser un système dédié qui journalise automatiquement ces informations — votre ESP, votre CRM, ou un outil spécialisé en archivage légal.
Action : Vérifiez que votre système d’inscription journalise correctement ces 5 éléments pour chaque nouvel abonné.
✅ Point 4 : Information transparente (mention légale)
Chaque formulaire de collecte doit informer clairement la personne de :
- Qui traite ses données (votre nom ou raison sociale)
- Pourquoi (finalité précise : recevoir la newsletter mensuelle sur l’email marketing)
- Combien de temps les données seront conservées
- Qui d’autre y a accès (sous-traitants comme votre ESP)
- Quels droits elle dispose (accès, rectification, suppression, opposition)
Cette information doit être présente directement dans le formulaire ou via un lien vers votre politique de confidentialité.
Action : Rédigez (ou mettez à jour) votre politique de confidentialité. Ajoutez un lien vers elle dans chaque formulaire de collecte.
✅ Point 5 : Registre des traitements
Si vous traitez des données à grande échelle ou si vous avez plus de 250 salariés, le registre est obligatoire. Pour les structures plus petites, il est fortement recommandé et souvent exigé en cas de contrôle CNIL.
Le registre doit documenter chaque traitement de données : nom du traitement, responsable, finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité.
Action : Créez (ou complétez) votre registre des traitements pour inclure vos activités d’email marketing. La CNIL met à disposition un modèle Excel gratuit sur son site.
✅ Point 6 : Contrat avec votre ESP
Votre ESP (Mailchimp, Brevo, Klaviyo…) est un sous-traitant qui traite des données personnelles pour votre compte. Le RGPD exige un contrat de sous-traitance formalisé.
La plupart des ESPs proposent désormais leurs Clauses Contractuelles Types (CCT) ou leur Data Processing Agreement (DPA) dans leur interface. Vérifiez que vous l’avez accepté.
Action : Connectez-vous à votre ESP et vérifiez la section légale / RGPD / DPA. Acceptez le DPA si ce n’est pas déjà fait.
✅ Point 7 : Désinscription facile et immédiate
Chaque email marketing doit contenir un lien de désabonnement fonctionnel et visible. La désinscription doit être :
- Effective en un clic (pas de formulaire de confirmation complexe)
- Prise en compte immédiatement (dans les 10 jours max selon la CNIL, idéalement instantané)
- Sans condition (pas d’obligation de créer un compte, de donner une raison)
Ce qui est interdit : Proposer uniquement un “désabonnement partiel” sans option de désabonnement total. Demander un email de confirmation avant de désinscrire. Ignorer les demandes de désinscription.
Action : Testez votre lien de désabonnement. Vérifiez que la prise en compte est immédiate dans votre ESP. Vérifiez que vous ne contactez pas les personnes désinscrites lors de vos prochains envois.
✅ Point 8 : Droits des personnes et procédure de traitement
Vos abonnés disposent de 6 droits que vous devez être en mesure d’exercer :
| Droit | Délai de réponse | Ce que ça implique |
|---|---|---|
| Accès | 1 mois | Fournir toutes les données que vous détenez sur la personne |
| Rectification | 1 mois | Corriger les données inexactes |
| Effacement | 1 mois | Supprimer les données (sauf obligation légale) |
| Opposition | Immédiat pour le marketing | Arrêter le marketing dès la demande |
| Portabilité | 1 mois | Fournir les données dans un format structuré |
| Limitation | 1 mois | Suspendre le traitement pendant un litige |
Action : Définissez une procédure interne pour traiter ces demandes. Identifiez qui dans votre organisation est responsable. Ajoutez une adresse de contact dédiée dans votre politique de confidentialité.
✅ Point 9 : Durée de conservation
Le RGPD impose le principe de “limitation de la conservation” : les données ne doivent pas être conservées plus longtemps que nécessaire à la finalité du traitement.
Recommandations CNIL pour l’email marketing :
- Prospects actifs (ont interagi dans les 3 ans) : conservation autorisée
- Prospects inactifs depuis 3 ans : suppression ou anonymisation obligatoire
- Clients : durée adaptée à la relation commerciale + obligations légales (archivage 10 ans pour la comptabilité)
Action : Configurez une purge automatique dans votre ESP pour les inactifs 3 ans+. La plupart des ESPs modernes permettent d’automatiser ce nettoyage via des segments d’inactivité.
✅ Point 10 : Sécurité des données
Vous devez prendre des mesures “appropriées” pour protéger les données. En pratique pour l’email marketing :
- Accès à votre ESP limité aux personnes qui en ont besoin
- Authentification forte (2FA) sur votre compte ESP
- Politique de mots de passe robuste
- Ne jamais exporter et stocker les listes dans des fichiers non sécurisés sur des partages publics
- Protocole en cas de violation de données (vous avez 72h pour notifier la CNIL)
Action : Activez le 2FA sur votre compte ESP. Auditez les accès (qui peut voir/exporter vos listes ?). Créez un protocole de notification en cas de fuite.
✅ Point 11 : Transferts hors UE
Si votre ESP stocke des données en dehors de l’Union Européenne (États-Unis notamment), des garanties supplémentaires sont requises.
Après l’invalidation du Privacy Shield en 2020, les transferts US-UE sont encadrés par le Data Privacy Framework (DPF) depuis 2023. Vérifiez que votre ESP est certifié DPF ou utilise des Clauses Contractuelles Types.
Les principaux ESPs (Mailchimp/Intuit, Brevo, Klaviyo, ActiveCampaign) ont tous mis en place des mécanismes conformes — vérifiez simplement que vous avez signé leur DPA.
Action : Vérifiez dans le DPA de votre ESP comment ils traitent les transferts de données hors UE. Si votre ESP est américain, cherchez la mention “Standard Contractual Clauses” ou “Data Privacy Framework”.
✅ Point 12 : Audit annuel
La conformité RGPD n’est pas un état permanent — c’est un processus continu. Les pratiques évoluent, les recommandations de la CNIL s’affinent, votre entreprise change.
Action : Planifiez un audit annuel de conformité RGPD qui vérifie les 11 points précédents. Désignez un responsable (vous-même, un DPO ou un prestataire externe spécialisé).
Cas particuliers fréquents
Le cold email B2B est-il compatible avec le RGPD ?
Oui, mais avec des conditions strictes. Le cold email B2B (prospection vers des professionnels) peut reposer sur l’intérêt légitime si :
- Vous contactez des professionnels dans le cadre de leurs fonctions (pas leur adresse personnelle)
- Le contenu de votre message est directement lié à leurs responsabilités professionnelles
- Vous proposez un désabonnement facile dans chaque message
- Vous n’avez pas eu accès à ces adresses de manière illicite
L’intérêt légitime B2B est plus facilement reconnu que pour les particuliers. Mais ce n’est pas un blanc-seing : restez pertinent, ciblé, et respectez scrupuleusement les désinscriptions.
Les emails transactionnels sont-ils soumis au RGPD ?
Oui, mais différemment. Les emails transactionnels (confirmation de commande, facture, réinitialisation de mot de passe) reposent sur l’exécution du contrat — pas sur le consentement marketing. Vous pouvez les envoyer sans consentement explicite tant qu’ils sont strictement transactionnels.
La frontière problématique : l’email de confirmation de commande qui contient une offre promotionnelle. Cette partie marketing nécessite un consentement ou une base légale supplémentaire.
Que faire des listes collectées avant le RGPD ?
Si ces listes ont été collectées avant mai 2018 sans consentement conforme, vous avez deux options :
- Campagne de re-consentement : Envoyer un email demandant à chaque personne de confirmer son abonnement. Supprimer ceux qui ne répondent pas.
- Suppression directe : Supprimer les contacts pour lesquels vous ne pouvez pas prouver un consentement valide.
L’option 1 est plus prudente légalement mais pratiquement difficile. L’option 2 est douloureuse à court terme (perte de contacts) mais vous met immédiatement en conformité.
Les 5 sanctions CNIL les plus instructives en matière d’email
2022 — Sanction Optical Center (250 000 €) : Envoi d’emails commerciaux sans consentement préalable à des millions de prospects. L’entreprise utilisait des cases pré-cochées et ne conservait pas les preuves de consentement.
2022 — Sanction Totalenergies (1 000 €, avertissement) : Difficulté à se désabonner et délai de traitement des désinscriptions supérieur aux délais légaux.
2023 — Sanction Criteo (40 000 000 €) : Ciblage publicitaire sans consentement valide, absence de base légale pour le traitement à des fins marketing. L’affaire illustre que le problème de consentement email est au cœur d’amendes massives.
2023 — Sanction Electra (78 000 €) : Prospection commerciale sans consentement préalable des personnes démarchées, absence de lien de désabonnement dans certaines communications.
2024 — Décisions multiples PME : La CNIL a accentué ses contrôles sur les PME, notamment sur la conformité des formulaires d’inscription et la traçabilité du consentement.
Conclusion : la conformité RGPD comme avantage concurrentiel
La conformité RGPD n’est pas une contrainte administrative — c’est un avantage compétitif dans un contexte de méfiance croissante des consommateurs envers les marques.
Les marques qui respectent réellement leurs abonnés construisent des relations plus durables, obtiennent de meilleurs taux d’engagement, et évitent les sanctions. En 2025, les abonnés sont de plus en plus avertis sur leurs droits. La transparence et le respect de leurs données ne sont plus optionnels : ils sont attendus et valorisés.
Les entreprises qui traitent cette checklist comme une liste de contraintes à contourner rateront la vraie opportunité : devenir une marque en qui on a confiance. Et dans l’email marketing, la confiance se traduit directement en ouvertures, en clics et en conversions.
Questions fréquentes
Oui, dans le cadre de la notion d'intérêt légitime et de la relation commerciale préexistante — à condition que vos emails portent sur des produits ou services similaires à ceux que le client a déjà achetés, que vous ayez fourni au client la possibilité de s'opposer dès la collecte, et que vous proposiez un désabonnement facile dans chaque email. C'est l'exception dite 'B2C client actif'. Pour les prospects ou les sujets non liés à l'achat initial, le consentement explicite reste requis.
La CNIL recommande de ne pas conserver les données de prospects inactifs au-delà de 3 ans. Pour les clients, la durée peut être plus longue si elle correspond à une obligation légale (archivage comptable = 10 ans) ou à un intérêt légitime documenté. La règle pratique : dès qu'un abonné n'a eu aucune interaction depuis 3 ans, ses données doivent être supprimées ou rendues anonymes.
Non, le double opt-in n'est pas explicitement requis par le RGPD. Cependant, c'est la pratique recommandée car elle constitue une preuve robuste du consentement. Le RGPD exige que vous soyez en mesure de prouver le consentement — le double opt-in, avec l'email de confirmation et son horodatage, est la méthode la plus sûre juridiquement.
Non. L'achat de listes email est incompatible avec le RGPD dans la quasi-totalité des cas. Les personnes sur ces listes n'ont pas consenti à recevoir vos emails spécifiquement — leur consentement éventuel a été donné à un tiers, pas à vous. La CNIL a sanctionné plusieurs entreprises pour avoir utilisé des listes achetées.
Vous avez 30 jours pour traiter la demande. Vous devez supprimer toutes ses données de vos systèmes : liste email, profil CRM, historique d'achats si non requis légalement. Exception : si vous avez une obligation légale de conserver certaines données (ex : factures), vous pouvez les conserver dans un système séparé, sans contact marketing. Envoyez ensuite une confirmation à la personne.