Le Règlement Général sur la Protection des Données (RGPD) a fondamentalement changé les règles de l’email marketing en Europe depuis son entrée en vigueur en mai 2018. Bien que perçu par certains comme une contrainte, le RGPD est en réalité un accélérateur de bonnes pratiques — les mêmes qui rendent l’email marketing plus efficace à long terme. Ce guide vous aide à comprendre et appliquer la conformité RGPD dans votre email marketing.
Les fondements du RGPD pour l’email marketing
Le RGPD (Règlement UE 2016/679) s’applique à tout traitement de données personnelles concernant des résidents de l’Union européenne. Une adresse email est une donnée personnelle. Donc : toute collecte et utilisation d’adresses email de résidents européens est encadrée par le RGPD.
Les principes fondamentaux qui régissent l’email marketing :
Licéité : il doit exister une base légale pour traiter les données Finalité : les données ne peuvent être utilisées qu’aux fins pour lesquelles elles ont été collectées Minimisation : seules les données nécessaires doivent être collectées Exactitude : les données doivent être à jour Limitation de conservation : les données ne peuvent être gardées indéfiniment Intégrité et confidentialité : les données doivent être protégées
Les bases légales pour l’email marketing
Le RGPD prévoit 6 bases légales pour traiter des données personnelles. En email marketing, deux bases sont principalement utilisées :
Le consentement (Article 7 RGPD)
C’est la base légale la plus commune en email marketing B2C. Le consentement doit être :
- Libre : sans contrainte ni pression
- Spécifique : pour des finalités précises et identifiées
- Éclairé : la personne sait exactement ce à quoi elle consent
- Univoque : une action positive (cocher une case), pas une case pré-cochée
Une case pré-cochée “J’accepte de recevoir la newsletter” est invalide sous le RGPD. L’abonné doit cocher activement la case.
L’intérêt légitime (Article 6(f) RGPD)
Base légale possible dans certains contextes B2B. L’intérêt légitime doit être mis en balance avec les intérêts de la personne concernée. Il s’applique généralement quand :
- Il existe une relation commerciale préexistante
- L’email porte sur des produits ou services similaires à ceux déjà achetés
- La personne a été informée de la possibilité de recevoir ces communications
- Un droit d’opposition est clairement proposé
Attention : l’intérêt légitime ne dispense pas de proposer un mécanisme de désabonnement. Et son application en B2C est très limitée — le consentement reste la règle.
Collecter le consentement : les bonnes pratiques
Le formulaire d’inscription conforme
Un formulaire d’inscription RGPD-conforme doit comporter :
- Une case à cocher non pré-cochée pour recevoir les communications email
- Une description claire de ce que l’abonné va recevoir et à quelle fréquence
- Un lien vers la politique de confidentialité
- L’identification de l’organisme qui collecte les données
Exemple de texte conforme : ”☐ J’accepte de recevoir la newsletter hebdomadaire de Fichiers-Emails.fr sur l’email marketing et la délivrabilité. Je peux me désabonner à tout moment. [Politique de confidentialité]“
Le double opt-in pour une conformité renforcée
Le double opt-in (confirmation par email) n’est pas obligatoire par le RGPD, mais il est fortement recommandé car il constitue une preuve supplémentaire de consentement et élimine les adresses invalides. La plupart des experts RGPD conseillent son utilisation systématique.
Traçabilité du consentement
Vous devez être capable de prouver :
- Qui a consenti (email, identifiant)
- Quand (date et heure avec fuseau horaire)
- Comment (version exacte du formulaire, texte de consentement)
- Via quel mécanisme (URL de la page, version du site)
Votre ESP devrait conserver automatiquement ces informations. Vérifiez dans votre outil que cette traçabilité est activée.
Les droits des abonnés : vos obligations
Le RGPD confère aux personnes dont vous détenez les données un ensemble de droits que vous devez respecter.
Droit de désabonnement (opt-out)
Obligatoire dans chaque email commercial. Le mécanisme de désabonnement doit être :
- Visible (pas caché en bas de page en texte microscopique)
- Simple (un clic suffit, pas de formulaire complexe)
- Immédiat (désabonnement effectif dans les 24 heures maximum, idéalement instantané)
Une “liste de désabonnés” doit être maintenue pour éviter de contacter à nouveau par erreur des personnes qui se sont désabonnées.
Droit d’accès
Toute personne peut demander à voir toutes les données que vous détenez sur elle. Vous devez pouvoir répondre dans un délai d’un mois (extensible à 3 mois pour les demandes complexes).
Droit de rectification
Permettre aux abonnés de corriger leurs données (adresse email, prénom, préférences). La plupart des ESPs proposent des pages de gestion des préférences.
Droit à l’effacement (“droit à l’oubli”)
Sur demande, vous devez supprimer toutes les données d’un abonné. Attention : la suppression de l’email ne suffit pas — toutes les données associées (historique d’achats, comportement email, segmentation) doivent également être effacées si elles sont liées uniquement à cet email.
Droit à la portabilité
Les personnes peuvent demander leurs données dans un format lisible par machine. Rarement invoqué en email marketing, mais vous devez être capable de l’honorer.
Droit d’opposition
Distinct du désabonnement : concerne les traitements basés sur l’intérêt légitime. Une personne peut s’opposer à ce type de traitement à tout moment.
Durée de conservation des données
Le RGPD interdit la conservation des données “pour toujours”. En email marketing, les bonnes pratiques recommandent :
Abonnés actifs (au moins une ouverture/clic dans les 12 derniers mois) : conservation justifiée tant que la relation active perdure.
Abonnés inactifs (aucune interaction depuis 12+ mois) : lancer une campagne de réengagement. S’il n’y a pas de réponse, supprimer les données dans les 6 mois suivants.
Données après désabonnement : l’adresse email peut être conservée dans une “liste de suppression” (pour éviter de recontacter par erreur), mais toutes les autres données doivent être effacées.
Preuves de consentement : à conserver aussi longtemps que vous utilisez les données, plus un délai de prescription légale (généralement 3-5 ans).
Pour une archivage conforme et durable de vos communications et données email, le service jesauvegardemesdocuments.fr propose des solutions d’archivage conforme RGPD de vos communications email adaptées aux professionnels et entreprises.
Transferts de données hors UE
Si votre ESP est américain (Mailchimp, ActiveCampaign, Klaviyo, etc.), vos données sont potentiellement transférées hors UE. Suite à l’invalidation du Privacy Shield en 2020, les transferts vers les États-Unis doivent reposer sur des mécanismes alternatifs :
- Clauses Contractuelles Types (CCT) : la plupart des grands ESPs les ont mises en place
- Certification EU-US Data Privacy Framework (depuis 2023) : cadre plus récent, reconnu par la Commission européenne
Vérifiez dans la documentation de votre ESP comment il gère les transferts de données et quelles garanties il offre.
Politique de confidentialité
Vous devez avoir une politique de confidentialité accessible, claire et complète. Elle doit mentionner :
- L’identité et les coordonnées du responsable de traitement
- La finalité et la base légale de chaque traitement
- Les catégories de données collectées
- Les destinataires des données (y compris votre ESP)
- Les transferts hors UE éventuels
- La durée de conservation
- Les droits des personnes et comment les exercer
- Le droit de déposer une plainte auprès de la CNIL
Les pratiques interdites
Pour être complet, voici ce qui est formellement interdit :
Acheter des listes email : illégal. Les personnes sur ces listes n’ont pas consenti à recevoir vos communications.
Utiliser des cases pré-cochées : le consentement n’est pas valide.
Masquer ou compliquer le désabonnement : obligation légale de faciliter le désabonnement.
Envoyer des emails à des adresses obtenues par scraping : illégal même si les adresses sont “publiques”.
Ne pas honorer une demande de désabonnement : sanction possible dès la première infraction.
Conserver les données des désabonnés (sauf liste de suppression) : violation du droit à l’effacement.
La relation entre conformité RGPD et performance email
Contraire aux idées reçues, la conformité RGPD améliore généralement les performances email. Voici pourquoi :
Une liste construite avec consentement explicite = abonnés qui ont voulu s’inscrire = taux d’engagement supérieurs. Le double opt-in sélectionne naturellement les abonnés les plus motivés. La suppression régulière des inactifs maintient des métriques d’engagement élevées, ce qui améliore la délivrabilité.
Les entreprises les plus performantes en email marketing sont généralement aussi les plus rigoureuses sur la conformité. Ce n’est pas un hasard.
Pour approfondir la construction d’une liste conforme, consultez notre guide sur la création d’une liste opt-in. Pour les spécificités de la prospection B2B, notre guide cold email B2B détaille le cadre légal applicable.
Conclusion : la conformité comme avantage concurrentiel
Le RGPD n’est pas une contrainte administrative à subir — c’est un standard éthique qui, bien appliqué, renforce la confiance de votre audience et la qualité de votre marketing. Les consommateurs européens sont de plus en plus sensibles à la façon dont leurs données sont utilisées.
Être conforme, c’est envoyer le signal que vous respectez vos abonnés. Et des abonnés respectés sont des abonnés fidèles.
Questions fréquentes
Oui, le RGPD s'applique à toute organisation qui collecte ou traite des données personnelles de résidents européens, quelle que soit la taille de l'entreprise. Il n'y a pas de seuil minimal. Une auto-entreprise qui collecte des emails de clients français est soumise au RGPD au même titre qu'une multinationale. La différence réside dans les obligations formelles (DPO obligatoire seulement à partir d'un certain volume de traitement, registre des traitements recommandé pour tous mais obligatoire pour les organismes > 250 salariés).
Le RGPD ne fixe pas de durée maximale absolue — il exige que les données ne soient conservées que le temps nécessaire à la finalité pour laquelle elles ont été collectées. En pratique, pour une liste email marketing, la durée raisonnable est généralement de 3 ans à partir du dernier contact actif (ouverture, clic, achat). Au-delà, les données doivent être supprimées ou le consentement renouvelé. Plusieurs ESPs proposent des fonctionnalités automatiques de purge des abonnés inactifs.
La preuve de consentement doit inclure : qui a consenti (identifiant de l'abonné), quand (date et heure précises), ce à quoi il a consenti (texte exact de la case à cocher ou de la mention), via quel mécanisme (formulaire sur quelle page, quelle version). La plupart des ESPs (Brevo, Mailchimp, ActiveCampaign) conservent automatiquement ces informations dans leurs systèmes. Il est recommandé d'exporter et archiver ces données régulièrement pour ne pas dépendre uniquement de votre ESP.
En B2B, la situation est plus nuancée qu'en B2C. La directive ePrivacy (transposée en droit français dans le code des postes et communications électroniques) permet la prospection par email auprès de personnes morales (entreprises) si l'email est en lien avec leur activité professionnelle et qu'une option de désabonnement est proposée. En pratique : vous pouvez contacter un directeur marketing pour lui parler de logiciels marketing, mais pas pour lui vendre des voyages. En revanche, pour les adresses email personnelles (gmail, yahoo, etc.) d'un professionnel, les mêmes règles qu'en B2C s'appliquent.
Les sanctions peuvent aller jusqu'à 4% du chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé des deux). En pratique, la CNIL applique une approche graduée : mise en demeure, puis avertissement, puis sanction financière en cas de récidive ou de violation grave. Les premières sanctions significatives en email marketing en France ont concerné des entreprises qui utilisaient des listes achetées ou n'offraient pas de mécanisme de désabonnement fonctionnel. La conformité n'est pas juste une obligation légale — c'est aussi une protection contre la défiance des consommateurs.