Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, a pour objectif principal de redonner aux citoyens le contrôle sur leurs données personnelles et de garantir leur protection face aux entreprises qui les collectent. Ce texte fondateur régule la collecte, le traitement et la conservation des données personnelles, notamment des adresses e-mail pour l'envoi de communications commerciales comme les newsletters. Respecter ces règles ne permet pas seulement d'éviter des sanctions, mais aussi d'établir une relation de confiance avec les abonnés, bénéfique pour la réputation de l'entreprise et l'efficacité des campagnes.
Les bases légales de la collecte d'adresses e-mail selon le RGPD
Le RGPD propose six bases légales, listées à l'article 6, pour justifier le traitement des données personnelles. Pour l'envoi de newsletters, les deux bases les plus courantes sont le consentement explicite et l'intérêt légitime.
Le consentement explicite : la pierre angulaire des newsletters
La base légale la plus exigeante et la plus sûre pour l'envoi de newsletters est le consentement explicite de la personne. Ce consentement doit être recueilli avant d'envoyer toute communication.
Pour être valable, le consentement doit remplir quatre conditions essentielles :
- Libre : Il ne doit être ni contraint, ni influencé. La personne concernée doit avoir le choix réel d'accepter ou de refuser le traitement, sans subir de conséquences négatives en cas de refus (par exemple, l'inaccessibilité d'un site internet). La personne doit également avoir le droit de retirer son consentement à tout moment, aussi facilement qu'elle l'a donné.
- Éclairé : Avant de consentir, la personne doit avoir reçu une information suffisante concernant l'identité du responsable du traitement, la finalité du traitement, le type de données collectées, le droit de retirer le consentement et l'éventuel transfert des données hors de l'UE. Cette information doit être communiquée en des termes clairs et facilement compréhensibles.
- Spécifique : Si le traitement comporte plusieurs finalités (par exemple, gestion de clientèle, enquête de satisfaction, opération de prospection), la personne concernée doit pouvoir donner son consentement de façon indépendante pour chacune de ces finalités.
- Univoque : Il doit être donné par un acte délibéré, sans aucune ambiguïté. Il peut être recueilli, par exemple, au moyen d'une déclaration écrite ou orale, ou via le cochage d'une case par voie électronique, telle que « J’accepte que mon adresse électronique soit réutilisée à des fins de prospection commerciale par courrier électronique ».
Il est impératif d'obtenir le consentement explicite de chaque utilisateur avant de leur envoyer des communications. Les cases pré-cochées (opt-out par défaut) ne sont pas autorisées et ne constituent pas un consentement valide. Le consentement doit être actif : l'utilisateur doit cocher lui-même la case pour s'inscrire à la newsletter (opt-in). Un exemple conforme serait : « En cochant la case ci-avant et en cliquant sur « Envoyer », vous acceptez que nous traitions vos données de contact pour vous envoyer des lettres d’informations concernant [les offres et actualités de Notre Entreprise] [À adapter suivant l’objet de la newsletter]. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans la newsletter. »
Le consentement doit être enregistré dans le registre de traitement de l'entreprise.
L'intérêt légitime : une exception encadrée pour les clients existants
En tant que commerce ou organisation, vous pouvez avoir l'intérêt légitime d'envoyer une newsletter à vos clients existants, en vertu de l'article 6.1.f du RGPD. Cependant, cette exception n'autorise pas l'utilisation d'objets trompeurs dans les e-mails, tels que « information exclusive » ou « votre avis nous intéresse ».
Des exemples d'objets conformes pourraient être :
- « Newsletter Leto - Les actualités RGPD d'avril »
- « Votre newsletter mensuelle du 15 avril »
- « Mise à jour RGPD - Avril 2025 (Newsletter) »
Il est crucial de noter que l'opt-out par défaut n'est pas valide au titre du RGPD pour une newsletter, sauf s'il s'agit d'un client existant avec un service associé.
Le retrait du consentement : un droit fondamental et simple à exercer
La personne concernée doit avoir le droit de retirer son consentement à tout moment, et aussi facilement qu'elle l'a donné. Par exemple, si le consentement est obtenu par voie électronique via un simple clic, le retrait doit pouvoir s'effectuer de la même manière. Obliger la personne à suivre un cheminement complexe via des liens vers des documents électroniques ou la contraindre à saisir un mot de passe ne respecte pas cette exigence.
Lorsqu'une personne retire son consentement, le responsable du traitement doit cesser tous les traitements qui se fondent sur celui-ci. Toutefois, les opérations réalisées sur la base d'un consentement valablement donné avant le retrait restent valables.
2 MIN POUR COMPRENDRE LE RGPD : GALÈRE OU OPPORTUNITÉ ? | Animation Whiteboard
Les mentions légales obligatoires sur un site internet et le RGPD
Bien que le Règlement Général sur la Protection des Données ne fasse pas directement état de « mentions légales RGPD », ces mentions, prévues par la Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, sont essentielles pour la conformité. Elles permettent d’identifier l’entrepreneur ou la société propriétaire du site et de pouvoir le contacter, participant ainsi à l’obligation d’information et de transparence prévue par la protection des données.
Ces mentions doivent être accessibles sur toutes les pages et renseigner l’utilisateur sur l’identité et les coordonnées de l’éditeur, de l’hébergeur et du directeur de publication.
Pour une personne physique (micro-entreprise ou entreprise individuelle), les mentions légales doivent contenir :
- Nom et prénom
- Adresse du domicile
- Adresse de courrier électronique ou numéro de téléphone pour contacter l’entreprise.
Pour une personne morale (société), les mentions légales du site internet comprennent également, selon l’activité :
- Dénomination sociale
- Forme juridique
- Adresse du siège social
- Montant du capital social
- Numéro d’immatriculation au RCS ou au RNEN
- Numéro de TVA intracommunautaire le cas échéant
- En cas de profession réglementée, les références relatives à la réglementation et au titre nécessaire ainsi que l’organisme de délivrance du titre
- Les coordonnées de l’autorité qui a délivré l’autorisation d’exercer le cas échéant
- Les CGV (conditions générales de vente) si vous êtes un site marchand (mais elles peuvent faire l’objet d’une page à part).
Depuis 2018, les sites internet ne doivent plus effectuer de déclaration à la CNIL concernant le traitement et le stockage des données personnelles. Le numéro de déclaration CNIL qui figurait dans les mentions légales n’a donc plus à y figurer.
La politique de confidentialité et de cookies : transparence et contrôle
La politique de confidentialité (ou politique de protection des données) est en lien direct avec la conformité au RGPD. C'est un texte qui explique comment l'entreprise collecte, utilise et protège les données personnelles des utilisateurs. Elle doit être personnalisée en fonction de l'activité de la structure.
Le bandeau cookies
Le bandeau cookies, également appelé bannière cookies, est un élément essentiel pour respecter le RGPD sur un site web. Il indique clairement ce que les traceurs du site (dont les cookies font partie) recueillent sur la navigation des visiteurs. Certains traceurs ne sont pas soumis au consentement (comme ceux permettant de garder un panier, conserver les préférences de langue ou s’authentifier), ce sont les cookies dits nécessaires. D’autres exigent le consentement de l’utilisateur, notamment pour les cookies qui mesurent l’audience des publicités ou suivent le comportement des internautes.
Le bandeau cookies doit permettre aux utilisateurs de :
- Être informés de l’utilisation de cookies sur le site
- Consentir à l’utilisation de cookies non essentiels
- Refuser l’utilisation de cookies non essentiels
- Personnaliser leurs préférences en matière de cookies, de manière simple.
Cette bannière doit être claire, visible et facilement accessible. Le consentement est donné par l’acceptation explicite des cookies : le refus ou l’absence d’acceptation ne vaut pas accord. L’utilisateur doit aussi pouvoir revenir facilement et quand il le souhaite sur son consentement initial.
La politique de cookies
La politique de cookies est un document plus complet qui explique en détail l'utilisation des cookies sur le site web. Elle se limite à l'utilisation de ces traceurs, contrairement à la politique de confidentialité. Pour un site internet conforme au RGPD, la politique de cookies doit notamment mentionner :
- Les différents types de cookies utilisés
- Les finalités de l’utilisation des cookies
- La durée de conservation des cookies
- Les moyens de refuser les cookies
Il est important de mettre à jour régulièrement le bandeau et la politique de cookies pour tenir compte des changements de la réglementation et des pratiques en matière de traceurs.
La mention RGPD sur les formulaires de collecte
La mention RGPD est un texte spécifique qui informe les utilisateurs que le site respecte les règles du RGPD, imposée par l’article 13 du règlement. Elle peut être incluse dans la politique de confidentialité ou affichée séparément sous chaque formulaire de collecte de données en ligne. Ces « mentions légales RGPD » désignent le texte à afficher à la personne au moment de la collecte de ses données. Elles doivent être affichées au moment de la collecte des données, souvent sous le formulaire web en petits caractères.
Voici un exemple de mention RGPD pour un formulaire : « Les informations recueillies par (votre société) font l’objet d’un traitement par (votre société, votre DPO ou le responsable du traitement) destiné exclusivement à (destinataire des données). Le traitement, basé sur votre consentement, a pour finalité (finalité(s) de la collecte de données personnelles). Ces données seront conservées le temps nécessaire à cette finalité et seront supprimées au plus tard dans les (durée de conservation des données) suivant leur collecte. Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée et au règlement européen n°2016/679/UE du 27 avril 2016, vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la portabilité ou à la limitation du traitement de vos données. »
Le responsable du traitement et ses obligations
Le représentant légal de l'entreprise (chef d'entreprise, gérant, président) est désigné « responsable du traitement ». C'est la personne à l'initiative du traitement de données, il détermine ses finalités et ses moyens. Le plus souvent, le responsable de traitement a recours à un sous-traitant chargé de traiter les données pour son compte (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale). Le responsable du traitement et son sous-traitant doivent respecter de nombreuses obligations en matière de protection des données personnelles.
Obligation d'information
Le responsable du traitement doit informer toute personne dont les données sont collectées. Cette obligation s'applique que la collecte soit directe (données recueillies auprès de la personne dans un formulaire) ou indirecte (données récupérées auprès de partenaires commerciaux, de data brokers ou de sources accessibles au public). L'information doit être délivrée au moment de la collecte directe ou dans un délai raisonnable après avoir obtenu les données, sans dépasser un mois en cas de collecte indirecte.
Les informations à transmettre sont les suivantes :
- Identité et coordonnées du responsable du traitement
- Coordonnées du délégué à la protection des données (DPO), le cas échéant
- Finalité poursuivie par le traitement : à quoi vont servir les données personnelles collectées
- Base légale justifiant le traitement : consentement de la personne, respect d'une obligation légale, exécution d'un contrat, etc.
- Caractère obligatoire ou facultatif de la fourniture de données personnelles : les conséquences pour la personne en cas de non-fourniture des données
- Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)
- Durée de conservation des données personnelles
- Droits de la personne sur ses données : droit de refuser la collecte, droit d'accéder, de rectifier et d'effacer ses données
- Droit de la personne d'introduire une réclamation auprès de la Cnil
- Source d’où proviennent les données personnelles, en cas de collecte indirecte
- Existence d'un transfert des données personnelles vers un pays hors de l'Union européenne, le cas échéant.
Les informations doivent être transmises de façon concise, transparente, compréhensible et facilement accessible, en des termes clairs et simples. L’information doit être présentée de manière efficace et succincte pour ne pas être noyée parmi d’autres contenus informatifs. Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, le responsable du traitement peut donner un premier niveau d'information en fin de formulaire et renvoyer vers une page dédiée sur son site internet, intitulée par exemple : « politique de confidentialité », « page vie privée » ou « données personnelles ».
Le registre des activités de traitement
Le registre des activités de traitement permet de recenser les traitements de données et d'avoir une vue d’ensemble des utilisations de ces données personnelles. L’obligation de tenir un registre des traitements ne s'applique pas à toutes les entreprises, il est nécessaire de se référer à leur taille. Pour les entreprises de moins de 250 salariés, la tenue du registre est obligatoire lorsque l'entreprise procède à des traitements non occasionnels (ex : gestion de la paie, gestion des clients/prospects).
Les droits des personnes concernées
Le responsable du traitement doit garantir des droits aux personnes dont les données sont collectées : droit d'accès, droit de rectification, droit d'effacement, droit à la portabilité des données ainsi que le droit d'opposition au traitement.
Droit d'accès aux données
Le responsable du traitement doit permettre, à la personne qui en fait la demande, d'accéder à ses données faisant l'objet d'un traitement. Le responsable a un mois pour répondre à compter de la date de réception de la demande. Les éléments doivent être communiqués gratuitement et de manière facilement compréhensible. Le responsable du traitement peut refuser la demande d’accès à condition de motiver sa décision et d'informer le demandeur des voies et délais de recours. Il peut également ne pas répondre aux demandes manifestement abusives.
Droit de rectification des données
Le responsable du traitement doit permettre, à la personne qui en fait la demande, de rectifier ses données inexactes dans les meilleurs délais.
Droit d'effacement des données (« droit à l'oubli »)
Ce droit permet à une personne de demander la suppression de ses données personnelles dans certains cas, par exemple si les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
Droit à la portabilité des données
Ce droit n’entraîne pas la suppression des données du service depuis lequel elles sont portées. De plus, il peut s’exercer à tout moment, y compris si la personne veut continuer à utiliser le service après avoir exercé ce droit. La Cnil recommande de mettre en place une procédure interne pour répondre aux demandes, par exemple une fonctionnalité permettant à la personne de télécharger ses données dans un format standard lisible par un ordinateur (CSV, XML, JSON, etc.) directement depuis son compte/espace authentifié. Le responsable du traitement peut refuser la demande de portabilité à condition de motiver sa décision ou ne pas répondre aux demandes manifestement abusives.
Droit d'opposition au traitement
Le responsable du traitement doit permettre à la personne concernée de s'opposer à la réutilisation de ses données à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante. Ce droit peut être exercé si le traitement est justifié par un intérêt légitime. Si le traitement est justifié par le consentement, la personne devra exercer son droit au retrait du consentement.
Bonnes pratiques pour la collecte d'adresses e-mail conformes au RGPD
Pour une collecte d'adresses e-mail conforme et efficace, il est essentiel d'adopter des bonnes pratiques qui vont au-delà de la simple évitement des sanctions. Elles permettent de construire une base de contacts saine, fidèle et engagée.
2 MIN POUR COMPRENDRE LE RGPD : GALÈRE OU OPPORTUNITÉ ? | Animation Whiteboard
Privilégier la qualité à la quantité
Collecter uniquement des adresses opt-in, c’est-à-dire obtenues avec un accord clair et explicite, est fondamental. Éviter l'aspiration d'adresses non opt-in est contre-productif et expose à des risques juridiques. La transparence est la meilleure façon de développer une base solide. Évitez les listes achetées ou aspirées.
Optimiser les formulaires d'inscription
Pour être conforme au RGPD, ajoutez toujours une case à cocher « Consentement » sur chaque formulaire. Placez un CTA (call-to-action) bien visible, centré, avec un contraste fort. Expliquez clairement à quoi l’abonné dit oui et conservez une preuve pour chaque inscription. Utilisez un formulaire avec une case à cocher distincte et un langage simple.
Activer le double opt-in
Le double opt-in n'est pas une obligation légale, mais c'est la meilleure façon de prouver le consentement en cas de contrôle. Il permet de valider l'adresse e-mail et de sécuriser les inscriptions.
Structurer la newsletter et la ligne éditoriale
Demandez régulièrement l’avis de vos abonnés sur le type de contenu qu’ils aimeraient recevoir. Cela renforce le consentement et l’engagement. Faites en sorte que les messages envoyés aux utilisateurs soient pertinents et adaptés. Une segmentation efficace est une bonne pratique non seulement pour le respect de la vie privée, mais aussi pour l’amélioration de l’engagement. Une agence de voyage peut, par exemple, segmenter sa liste d’abonnés en fonction des préférences des utilisateurs : vacances à la montagne, séjours balnéaires, voyages culturels, etc.
Utiliser les promotions et les cadeaux de manière éthique
Offrir un cadeau ou une promotion en échange d’une inscription est une bonne pratique, à condition que cela ne devienne pas une contrepartie excessive. Privilégiez un cadeau qui répond directement aux besoins des prospects. Le parrainage est également une méthode efficace, en offrant un avantage au parrain comme au filleul (réduction, bonus, contenu exclusif).
Miser sur l'exclusivité et l'interactivité
Si vous avez un contenu exclusif à diffuser (livre blanc, étude, guide pratique), ne le laissez pas accessible librement sur Internet. Un document à forte valeur ajoutée attire naturellement l’attention et peut être utilisé pour obtenir un consentement clair. Créer de l’interactivité renforce également le consentement.
S'appuyer sur les réseaux sociaux et la co-registration avec prudence
Pensez à promouvoir régulièrement vos newsletters sur vos comptes sociaux en ajoutant un lien direct vers votre liste d’inscription. Investir dans des campagnes publicitaires ciblées peut générer des contacts qualifiés, en privilégiant des annonces visuelles qui redirigent vers une landing page ou un formulaire simple.
La co-registration consiste à créer des partenariats pour partager des bases de données. Cependant, attention : les contacts collectés par ce biais n’ont pas donné leur consentement RGPD direct à votre entreprise, ce qui peut poser problème.
Gérer les désabonnements et la conservation des données
Chaque newsletter doit inclure un lien de désinscription visible dans le pied de page (« Cliquez ici pour vous désinscrire » ou « Opt-out »). La désinscription doit être simple et gratuite. Le RGPD impose que les données personnelles ne soient pas conservées plus longtemps que nécessaire. Passé ce délai, les données doivent être supprimées ou anonymisées.
Sécurisation des données et documentation
Assurez-vous que toutes les informations personnelles recueillies sont stockées de manière sécurisée. Seules les personnes spécialement habilitées de l’équipe marketing devraient avoir accès aux informations, et uniquement après authentification multi-facteur. Documenter l’usage des données personnelles est une exigence importante du RGPD.
Formation des équipes et audits internes
Formez vos équipes pour qu’elles comprennent les obligations et les risques liés à la collecte et au traitement des données personnelles. Réalisez des audits RGPD internes pour vous assurer que vos pratiques restent conformes aux exigences du Règlement.
Spécificités pour le B2B et le B2C
Les règles diffèrent quelque peu entre le B2B (Business to Business) et le B2C (Business to Consumer). En B2B, la transparence reste cruciale, même si le consentement explicite n'est pas toujours requis pour les clients existants si l'intérêt légitime est justifié et que la prospection concerne des produits ou services similaires. La pertinence des messages est très importante pour ne pas être perçus comme des spams.
En B2C, le respect de la vie privée est prioritaire, et les utilisateurs doivent être informés de manière transparente de l’utilisation de leurs données. Le B2C est plus encadré que le B2B, et le consentement explicite est la norme.
Sanctions en cas de non-conformité
La transparence est l’un des principes piliers du règlement RGPD. Ne pas avoir de mentions légales RGPD ou avoir des mentions légales non-conformes va à l’encontre de ce principe fondamental. L’entreprise contrevenante s’expose à un avertissement de la part de la CNIL. Si les mentions légales ne sont pas mises en place ou corrigées dans les plus brefs délais, l’entreprise encourt une mise en demeure. Si la situation perdure, l’entreprise s’expose à des sanctions pénales lourdes : suspension des traitements et amende.
En l'absence d'information, le fait de ne pas informer la personne auprès de laquelle sont recueillies des données est puni d'une amende pénale de 1 500 € pour les entrepreneurs individuels et 7 500 € pour les sociétés. Lorsque le recueil de consentement est obligatoire, le traitement de données personnelles obtenues sans le consentement de la personne concernée est puni pénalement de 5 ans d'emprisonnement et 300 000 € d'amende pour les entrepreneurs individuels et 1 500 000 € pour les sociétés. L’amende peut atteindre au maximum 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. En décembre 2020, Google a été condamnée à une amende de 100 millions d’euros pour ne pas avoir respecté les exigences de transparence et de consentement, telles que prévues par le RGPD.