Emailing et droit français : rappel des principales règles à connaître et à respecter

Emailing droit français : CNIL sanctionne jusqu’à 20 M€


Par Temps de lecture : 4 Minutes

L’emailing touche directement aux données personnelles de ses destinataires. Avant d’envoyer vos campagnes, vous devez connaître les règles qui s’appliquent en France : la législation nationale issue de la loi Informatique et Libertés, complétée depuis mai 2018 par le RGPD (Règlement Général sur la Protection des Données). Votre responsabilité légale en dépend.

Qui s’occupe de la protection des données dans le domaine informatique en France ?

En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de contrôle nationale désignée par le RGPD pour veiller à la protection des données personnelles. Elle surveille les pratiques des professionnels, contrôle leur conformité, et accompagne les particuliers dans l’exercice de leurs droits (accès, rectification, suppression).

La CNIL peut aussi sanctionner les organisations en infraction : avertissement, mise en demeure, puis amende si les manquements persistent. Ce cadre progressif s’applique à toute campagne emailing non conforme.

Règles d’emailing selon le type de destinataire

Règles générales

Chaque email commercial doit mentionner l’identité de l’expéditeur de façon claire et immédiate. Le message doit contenir un lien de désinscription fonctionnel, et la désinscription doit être traitée sans délai. L’objet doit correspondre au contenu réel du message : un objet trompeur (qui imite un email personnel, par exemple) constitue une infraction distincte.

En pied d’email, l’adresse postale de l’expéditeur doit figurer dans le corps du message. Cette mention est obligatoire et souvent absente dans les campagnes de petites structures. Vous devez aussi conserver une preuve du consentement obtenu pour chaque contact, avec la date et la finalité déclarée lors de la collecte.

Règles particulières : le cas du B2C (particuliers)

Un email commercial ne peut pas être envoyé à un particulier sans son consentement préalable et explicite. Ce consentement doit être libre, spécifique, éclairé et univoque au sens du RGPD (art. 4§11). Une case pré-cochée ou le silence de l’utilisateur ne valent pas consentement.

Exception : si le destinataire est déjà client et que l’email concerne des produits ou services analogues à ce qu’il a déjà acheté, le consentement préalable n’est pas requis (régime du soft opt-in). La personne doit avoir été informée lors de la collecte que son adresse serait utilisée à des fins de prospection, et doit pouvoir s’y opposer facilement et gratuitement à chaque envoi.

Pour les nouvelles collectes, l’idéal reste le double opt-in : un email de confirmation après l’inscription, avec un clic de validation. C’est la preuve de consentement la plus solide en cas de contrôle CNIL.

Règles particulières : le cas du B2B (professionnels)

En B2B, la base légale est l’intérêt légitime (art. 6.1.f du RGPD) : vous pouvez prospecter un professionnel sans consentement préalable, à condition que le message ait un rapport direct avec sa fonction ou son secteur d’activité. Un email adressé à un DSI pour un outil IT, ou à un DRH pour une solution RH, entre dans ce cadre.

Cette règle s’applique aux adresses nominatives (nom.prénom@entreprise.com), qui sont des données personnelles. Elle ne couvre pas les adresses génériques (contact@entreprise.com), considérées comme des données de personne morale et hors champ du RGPD : pour ces adresses, ni consentement ni opt-out ne sont requis.

Chaque email B2B doit proposer un lien de désinscription. Les données des contacts inactifs depuis plus de 3 ans doivent être supprimées ou faire l’objet d’une nouvelle demande de consentement (recommandation CNIL).

Sanctions et obligations complémentaires

  • Toute adresse email est une donnée personnelle au sens du RGPD et de la législation française, y compris les adresses B2B nominatives (nom.prénom@société.com).
  • Les cases pré-cochées pour recueillir le consentement sont illégales, confirmé par l’arrêt Planet49 de la CJUE (octobre 2019).
  • Évitez les bases de données achetées ou louées. L’envoi d’emails à des adresses récupérées sur d’autres sites, forums ou annuaires constitue une collecte déloyale, interdite par la CNIL.
  • Sanctions pénales (LCEN, art. L.34-5 CPCE) : 750 € par message envoyé en infraction pour une personne physique, 3 750 € pour une personne morale. Des peines d’emprisonnement sont prévues pour les cas graves.
  • Sanctions administratives (RGPD) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel. La CNIL a prononcé 42 M€ d’amende à l’encontre de FREE en 2026. Pour les PME, la procédure passe par un avertissement, puis une mise en demeure, avant toute amende.
  • Les destinataires peuvent demander l’accès à leurs données, leur rectification ou leur suppression. Vous devez répondre sous 1 mois (art. 12 RGPD).

Source principale : CNIL.fr

Nicolas
Author

J'apporte mon expertise en marketing digital à travers mes articles. Mon objectif est d'aider les professionnels à améliorer leur stratégie marketing en ligne en partageant des astuces pratiques et des conseils pertinents. Mes articles sont rédigés de manière claire, précise et facile à suivre, que vous soyez novice ou expert en la matière.

Les articles similaires
100 Vérifications Gratuites à Votre Inscription

💡 Évitez les Bounces : 
100 crédits emails offerts !

Des adresses jetables ? Des domaines inactifs ? Des pièges à spam ? 

Découvrez ce qui se cache dans votre liste.