Quelles règles encadrent l’envoi d’une newsletter commerciale ?
En bref : L'envoi de newsletters commerciales est strictement encadré par la directive e-Privacy de 2002 (transposée en droit français) et le RGPD depuis 2018. Vers les particuliers (B2C), le consentement préalable explicite est obligatoire (opt-in). Vers les professionnels (B2B), l'opt-out est toléré sous conditions. La CNIL peut infliger des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les violations les plus graves.
L'email marketing reste l'un des canaux de communication les plus efficaces en termes de retour sur investissement — l'association DMA estime un ROI moyen de 36 € pour 1 € investi. Mais ce canal est aussi l'un des plus encadrés réglementairement, et les erreurs (envoi sans consentement, absence de lien de désinscription, collecte illégale d'adresses) exposent à des sanctions significatives. Comprendre les règles avant de lancer une campagne est indispensable pour construire une liste email pérenne et conforme.
Le principe de base : consentement préalable en B2C
En France, l'article L. 34-5 du Code des postes et communications électroniques interdit d'envoyer une communication commerciale à un particulier sans son consentement préalable, libre, spécifique et éclairé. Ce principe d'opt-in signifie que le destinataire doit avoir activement accepté de recevoir vos emails avant que vous ne les lui envoyiez — cocher une case lors d'une inscription, remplir un formulaire dédié, ou cliquer sur un bouton "S'abonner". Une case pré-cochée ne constitue pas un consentement valide depuis l'entrée en vigueur du RGPD en 2018.
Le consentement doit être spécifique : un utilisateur qui accepte les CGV d'un site e-commerce n'accepte pas automatiquement de recevoir une newsletter. L'acceptation des conditions d'utilisation et l'opt-in newsletter doivent être deux actions distinctes. Le consentement doit être éclairé : l'utilisateur doit savoir précisément à quoi il consent (recevoir des emails de la marque X sur les thèmes Y et Z). Enfin, il doit être documenté : vous devez être en mesure de prouver que chaque contact a bien consenti, avec la date, l'heure et le formulaire utilisé.
Les règles spécifiques pour le B2B
Les règles sont plus souples pour la prospection B2B. L'envoi d'emails commerciaux à des professionnels (adresses email professionnelles d'une entreprise) est toléré sans consentement préalable sous deux conditions cumulatives : le contenu doit avoir un rapport avec l'activité professionnelle du destinataire, et chaque email doit proposer un moyen simple de se désinscrire. En pratique, envoyer une newsletter sur les outils de gestion d'entreprise aux DAF d'entreprises de plus de 50 salariés est conforme. Envoyer la même newsletter à des adresses Gmail de particuliers sans consentement ne l'est pas.
Attention cependant : même en B2B, la collecte des adresses email doit être licite. Acheter des listes d'emails, scraper des adresses sur des sites web sans autorisation ou utiliser des bases de données volées sont des pratiques illégales au regard du RGPD, même si les destinataires sont des professionnels. Les adresses collectées lors d'événements professionnels (salon, conférence) ou via un formulaire de contact sur le site sont des sources licites, à condition que l'usage commercial prévu soit indiqué au moment de la collecte.
| Règle | B2C (particuliers) | B2B (professionnels) |
|---|---|---|
| Consentement préalable | Obligatoire (opt-in) | Non obligatoire si offre pertinente |
| Case pré-cochée | Invalide depuis RGPD | Invalide depuis RGPD |
| Lien de désinscription | Obligatoire dans chaque email | Obligatoire dans chaque email |
| Délai de désinscription | 10 jours maximum | 10 jours maximum |
| Identification de l'émetteur | Obligatoire (nom, adresse) | Obligatoire |
| Achat de listes emails | Interdit | Interdit (RGPD) |
Les mentions obligatoires dans chaque email
Chaque email commercial doit contenir plusieurs mentions obligatoires pour être conforme. L'identité de l'émetteur : le nom de l'entreprise doit apparaître clairement, soit dans le champ "De :", soit dans le corps de l'email. L'adresse physique de l'entreprise (siège social) doit figurer quelque part dans l'email — généralement dans le pied de page. Un lien de désinscription fonctionnel est obligatoire dans chaque email commercial : la désinscription doit prendre effet dans un délai maximum de 10 jours.
L'objet de l'email ne doit pas être trompeur : masquer le caractère commercial d'un email (en faisant croire qu'il s'agit d'un message personnel ou d'une notification de service) pour contourner les filtres anti-spam est une pratique déloyale sanctionnable. Le champ "De" doit refléter l'expéditeur réel et non un nom fictif. L'adresse de réponse (Reply-To) doit être une adresse fonctionnelle : envoyer depuis une adresse no-reply qui ne reçoit aucune réponse est légalement permis mais nuit à la délivrabilité et à l'expérience utilisateur.
Gestion des désabonnements et données personnelles
Le RGPD exige que les données des personnes désabonnées soient gérées correctement. Une personne qui se désinscrit d'une newsletter a exercé son droit d'opposition au traitement de ses données à des fins marketing. Ses données ne peuvent plus être utilisées pour cet usage. Elles peuvent être conservées dans une "liste noire" pour éviter de lui renvoyer des emails (droit d'effacement vs nécessité de mémoriser l'opposition), mais ne peuvent pas être réutilisées pour d'autres campagnes sans nouveau consentement.
La durée de conservation des données des contacts actifs doit être proportionnée : la CNIL recommande généralement de ne pas conserver les données au-delà de 3 ans après le dernier engagement actif (ouverture d'email, clic). Un contact qui n'a plus ouvert un seul email depuis 3 ans constitue une "donnée froide" qui doit être soit réengagée (campagne de réactivation) soit supprimée de la base active. Cette pratique d'hygiène de liste, en plus d'être conforme au RGPD, améliore les taux d'ouverture et la délivrabilité des campagnes.
Questions fréquentes sur la réglementation email marketing
Peut-on utiliser une liste email achetée pour une campagne en France ?
Non. L'achat de listes emails n'est pas conforme au RGPD : les personnes sur ces listes n'ont pas consenti à recevoir vos communications spécifiquement. Utiliser ces listes expose à des sanctions CNIL et à un risque élevé de signalements spam qui dégradent la réputation de domaine de l'expéditeur. La construction organique d'une liste (formulaires opt-in, lead magnets, parrainage) est la seule approche pérenne et conforme.
Faut-il un double opt-in pour être conforme au RGPD ?
Le double opt-in (confirmation par email après l'inscription) n'est pas strictement obligatoire en droit français, mais il est fortement recommandé. Il constitue une preuve de consentement particulièrement robuste (l'adresse est vérifiée, le consentement est documenté par l'action de cliquer le lien de confirmation). Il réduit aussi les inscriptions frauduleuses et améliore la qualité de la liste. La plupart des plateformes d'emailing (Brevo, Mailchimp, Klaviyo) proposent le double opt-in en option facilement activable.
Un email transactionnel (confirmation de commande) est-il soumis aux mêmes règles qu'une newsletter ?
Non. Les emails transactionnels (confirmation de commande, notification d'expédition, facture, réinitialisation de mot de passe) ne sont pas des communications commerciales : ils sont envoyés en réponse à une action de l'utilisateur et contiennent des informations directement liées à cette action. Ils ne nécessitent pas de consentement marketing et n'ont pas à contenir de lien de désinscription. Attention : insérer du contenu promotionnel dans un email transactionnel peut le requalifier en email commercial et soumettre à toutes les obligations correspondantes.
Sources : CNIL, guide email marketing conforme au RGPD, Code des postes et communications électroniques, art. L. 34-5, Directive 2002/58/CE (e-Privacy), DMA, rapport ROI email marketing 2024
