Newsletter et RGPD : opt-in, double opt-in et prospection en 2026

L'email reste l'un des canaux marketing les plus rentables, mais c'est aussi l'un des plus contrôlés par la CNIL. En mai 2025, la filiale SOLOCAL MARKETING SERVICES a été sanctionnée d'une amende de 900 000 euros pour des opérations de prospection sans consentement valable. Ce dossier rappelle que la newsletter et la prospection par courrier électronique sont encadrées par un trio de textes très précis. Voici ce qui s'applique en 2026 à votre formulaire d'inscription, à vos campagnes et à votre base de prospects.

Le cadre juridique applicable à la newsletter

Trois textes se superposent et doivent tous être respectés.

D'abord, la LCEN (loi pour la confiance dans l'économie numérique du 21 juin 2004), qui transpose la directive ePrivacy et pose le principe de l'opt-in pour la prospection électronique adressée aux particuliers. Elle se traduit en droit français par l'article L.34-5 du Code des postes et des communications électroniques (CPCE), qui interdit la prospection directe au moyen d'un courrier électronique sans consentement préalable du destinataire personne physique.

Ensuite, le RGPD (règlement européen 2016/679) : toute collecte d'une adresse email constitue un traitement de données personnelles. Le responsable du traitement doit identifier une base légale (consentement ou intérêt légitime selon les cas), informer la personne, respecter ses droits et conserver les données pour une durée proportionnée.

Enfin, la loi Informatique et Libertés du 6 janvier 1978 modifiée, qui complète le RGPD au niveau national et confie à la CNIL son pouvoir de contrôle et de sanction.

La conséquence pratique : une simple case à cocher mal configurée peut violer simultanément le CPCE et le RGPD, et exposer à des sanctions cumulables. Pour une vue d'ensemble, consultez notre guide RGPD pour un site web français.

B2C : l'opt-in est obligatoire, sans exception

Lorsque le destinataire est un particulier identifié par son adresse personnelle (prenom.nom@gmail.com, pseudo@orange.fr), aucune prospection commerciale par email n'est possible sans consentement préalable explicite. Le RGPD précise les quatre caractères de ce consentement :

• Libre : la personne doit pouvoir refuser sans conséquence sur le service. Conditionner l'accès à un contenu à l'inscription à la newsletter peut vicier le consentement.
• Spécifique : un consentement par finalité. Recevoir la newsletter ne vaut pas acceptation d'être démarché par des partenaires.
• Éclairé : la personne sait qui collecte, pour quoi, et où trouver la politique de confidentialité.
• Univoque : un acte positif clair. Une case non pré-cochée que l'utilisateur coche lui-même.

Une exception limitée existe : la prospection portant sur des produits ou services analogues à ceux déjà fournis par l'entreprise à un de ses clients, dès lors que l'adresse a été recueillie « à l'occasion d'une vente ou d'une prestation » et que l'opposition était possible dès la collecte. C'est ce que l'on appelle parfois l'opt-out client. Cette tolérance ne couvre pas la prospection au profit de tiers ni les produits sans lien direct avec ceux déjà achetés.

B2B : le soft opt-in, sous conditions strictes

L'article L.34-5 du CPCE prévoit que les règles de consentement préalable ne s'appliquent pas aux personnes morales et aux personnes physiques contactées en leur qualité professionnelle, à condition que le message porte sur leur activité professionnelle. C'est le mécanisme dit du « soft opt-in ».

Concrètement, vous pouvez envoyer un email commercial à paul.dupont@entreprise.fr pour lui proposer un logiciel CRM, sans avoir recueilli son consentement préalable, à condition que :

1. L'adresse ait été collectée loyalement, en informant le titulaire de l'usage prévu pour de la prospection.
2. Le message porte effectivement sur l'activité professionnelle du destinataire (un acheteur RH ne doit pas recevoir une offre de chaussures personnelles).
3. Chaque email comporte un moyen simple, gratuit et clair de s'opposer à de nouveaux envois.

La distinction la plus importante porte sur le type d'adresse. La CNIL retient deux régimes :

• Les adresses nominatives professionnelles (prenom.nom@societe.fr) sont rattachées à une personne physique identifiée. Elles relèvent du RGPD et du soft opt-in conditionnel décrit ci-dessus.
• Les adresses génériques (contact@, info@, commercial@, rh@) sont attribuées à une personne morale. Elles échappent largement à l'obligation de consentement, mais l'information et le droit d'opposition restent attendus.

Le double opt-in : recommandé, pas obligatoire

Le double opt-in consiste à envoyer un email de confirmation après l'inscription, contenant un lien que l'abonné doit cliquer pour activer son abonnement. Aucun texte français ne l'impose, ni la LCEN, ni le RGPD, ni la CNIL.

Pourquoi alors le mettre en place systématiquement ? Pour deux raisons opérationnelles très concrètes.

D'une part, la preuve du consentement. L'article 7 du RGPD met à la charge du responsable du traitement la démonstration que la personne a bien consenti. Le double opt-in fournit un horodatage, une adresse IP, une URL de page d'origine et un clic actif de confirmation. C'est l'élément de preuve le plus solide en cas de contrôle ou de plainte.

D'autre part, la qualité de la base. Le double opt-in élimine les fautes de frappe, les inscriptions malveillantes par des tiers et les adresses jetables. Il améliore mécaniquement le taux de délivrabilité et réduit le risque d'être signalé comme spam, ce qui dégrade la réputation IP de votre expéditeur.

Pour ces raisons, la quasi-totalité des outils d'emailing du marché proposent le double opt-in en option par défaut. Il est fortement recommandé.

Le formulaire d'inscription conforme

Un formulaire d'inscription à une newsletter doit cocher cinq cases pour être conforme.

Une finalité claire affichée à proximité immédiate du champ email : « Recevez notre newsletter mensuelle sur les nouveautés produit ». Une formulation vague (« Restez informé ») est insuffisante si la newsletter contient en réalité des offres partenaires.

Une case à cocher distincte lorsque le formulaire collecte plusieurs consentements (newsletter + offres partenaires + études marché). Chaque finalité doit avoir sa propre case, non pré-cochée, librement décidée par l'utilisateur.

Un lien vers la politique de confidentialité, qui détaille la base légale, les destinataires, la durée de conservation et les droits. Voir notre modèle de politique de confidentialité pour un canevas conforme.

Les informations clés en bref, directement sous le formulaire : identité du responsable, nature des données collectées (au minimum l'email), droits d'accès, rectification, opposition, suppression, portabilité.

Un message de confirmation après envoi, qui rappelle que l'inscription est en cours de validation (en cas de double opt-in) et indique comment se désinscrire à tout moment.

Pour aller plus loin sur l'articulation avec les cookies et la collecte indirecte via formulaires de contact, lisez Bandeau cookies : conformité CNIL en 2026.

La désinscription : obligatoire dans chaque email

L'article L.34-5 du CPCE et le RGPD imposent que chaque message comporte un moyen simple, immédiat et gratuit de mettre fin à la réception. Les exigences pratiques :

• Un lien de désinscription visible, généralement en pied d'email, libellé sans ambiguïté (« Se désinscrire », « Ne plus recevoir »).
• Une désinscription effective en un clic, sans obligation de se connecter à un compte, de saisir son adresse ou de justifier d'un motif.
• Un traitement rapide : la CNIL admet un délai technique de quelques jours, au-delà duquel la prospection devient non sollicitée.
• Une désinscription totale, pas une « pause » qui réactiverait l'abonnement automatiquement.

Conserver une adresse désinscrite en base est possible, à condition de la basculer dans une liste d'exclusion (suppression list) afin de garantir qu'aucune relance ne lui sera envoyée. Cette liste se conserve sans limite de durée tant qu'elle sert à respecter le droit d'opposition.

Achat de bases de données : un risque très élevé

L'achat de listes d'adresses email est l'une des sources de sanction les plus fréquentes. Le simple fait d'avoir payé un prestataire ne crée aucun consentement valable. Le responsable du traitement doit pouvoir démontrer :

• Que la personne a explicitement consenti à la cession de ses données à des tiers, identifiés ou identifiables au moment du recueil.
• Que la finalité poursuivie (votre prospection) entre dans le périmètre de ce consentement initial.
• Que la personne a été informée de la transmission.

En pratique, peu de bases vendues sur le marché remplissent ces conditions. La sanction de 900 000 euros prononcée le 15 mai 2025 contre SOLOCAL MARKETING SERVICES portait précisément sur ce point : la société diffusait des prospects collectés via des formulaires de tiers (jeux concours, sondages) à des annonceurs partenaires, sans consentement spécifique. La CNIL a également infligé 80 000 euros à la société Caloga dans la même décision pour des manquements analogues. Plus largement, ces dossiers s'inscrivent dans la thématique prioritaire de contrôle « prospection commerciale et courtage en données ».

Pour évaluer les amendes encourues selon le type de manquement, consultez notre dossier sur les sanctions CNIL pour site non conforme.

Durée de conservation des prospects

Le référentiel CNIL « gestion des activités commerciales » recommande une durée de conservation de 3 ans à compter du dernier contact issu du prospect. Le « dernier contact » doit être actif : une demande d'information, un téléchargement, un clic dans un email. La CNIL a précisé que la simple ouverture d'un email ne constitue pas un contact au sens de cette durée.

Trois précisions opérationnelles importantes.

D'abord, à l'issue des 3 ans, la donnée doit être supprimée ou archivée. Vous pouvez sonder une dernière fois le prospect (« Souhaitez-vous continuer à recevoir notre newsletter ? ») mais en l'absence de réponse positive et explicite, la suppression s'impose.

Ensuite, la durée applicable aux clients est différente : leurs données peuvent être conservées pendant toute la relation contractuelle, puis archivées pour la durée des obligations comptables et fiscales (10 ans pour les pièces justificatives), avant suppression définitive. Notez que la finalité prospection sur un client suit la règle des 3 ans à compter du dernier contact entrant.

Enfin, la durée doit figurer dans votre registre des traitements (voir notre modèle de registre RGPD 2026) et dans la politique de confidentialité publiée sur le site.

Choisir un outil d'emailing conforme

La plupart des outils du marché proposent les fonctionnalités attendues, mais la conformité n'est jamais automatique. Quelques points de vigilance lors de la sélection.

• Brevo (ex-Sendinblue), éditeur français basé à Paris. Données hébergées en Europe par défaut. Propose nativement double opt-in, gestion des listes d'exclusion et registre des consentements.
• Mailchimp, éditeur américain (groupe Intuit). Couvert par le Data Privacy Framework depuis juillet 2023, ce qui sécurise le transfert hors UE. Vérifiez le DPA et les paramètres de localisation des données.
• MailerLite, éditeur lituanien (UE). Hébergement européen, bonne couverture RGPD, double opt-in activable.
• Sarbacane, éditeur français basé à Lille. Hébergement France, axé conformité.
• MailerSend, Postmark, SendGrid, Mailjet, ActiveCampaign : vérifiez l'accord de traitement (DPA), la localisation des serveurs et la couverture DPF pour les outils américains.

L'articulation avec la politique de confidentialité

La politique de confidentialité du site doit mentionner explicitement la newsletter et la prospection commerciale. La CNIL attend, au minimum :

• La finalité : « envoi de notre newsletter », « prospection commerciale sur nos produits ».
• La base légale : consentement pour la newsletter B2C, intérêt légitime pour la prospection B2B (en justifiant l'équilibre des intérêts).
• Les destinataires : votre service marketing, éventuellement le prestataire d'emailing nommé.
• La durée de conservation : 3 ans après le dernier contact, ou tant que l'abonnement est actif.
• Les droits : accès, rectification, opposition, retrait du consentement, réclamation auprès de la CNIL.
• Les éventuels transferts hors UE (cas d'un outil américain non couvert par le DPF).

Cette politique doit être accessible depuis chaque page du site, ainsi qu'à proximité immédiate du formulaire d'inscription. Voir aussi Mentions légales 2026 : obligations pour l'articulation avec les autres pages légales.

Méthode : auditer sa conformité newsletter

Cinq vérifications à effectuer ce mois-ci pour mesurer l'écart.

1. Ouvrez votre formulaire d'inscription : la case de consentement est-elle non pré-cochée, avec une finalité claire ?
2. Recevez-vous un email de confirmation (double opt-in) ? Sinon, est-ce documenté dans votre registre ?
3. Ouvrez votre dernière campagne : le lien de désinscription est-il visible, et fonctionnel en un seul clic, sans demande de motif ?
4. Quelle est la date du dernier contact actif de vos abonnés les plus anciens ? Si elle dépasse 3 ans, lancez une campagne de revalidation ou supprimez.
5. Votre politique de confidentialité mentionne-t-elle la newsletter avec finalité, base légale, durée et droits ? Si elle date d'avant 2023, elle est probablement à mettre à jour.

Ressources officielles

• La prospection commerciale par courrier électronique — fiche pratique CNIL.
• Article L.34-5 du Code des postes et des communications électroniques sur Légifrance.
• Sanction de 900 000 euros à l'encontre de SOLOCAL MARKETING SERVICES — délibération CNIL du 15 mai 2025.
• Référentiel CNIL « gestion des activités commerciales » — durées de conservation et bonnes pratiques.

La conformité newsletter ne se résume pas à l'installation d'un outil d'emailing. Elle suppose d'avoir vérifié le chemin complet, du formulaire d'inscription jusqu'à la suppression des données obsolètes, en passant par le contenu de chaque envoi. Un audit annuel suffit en général à maintenir le niveau attendu, à condition d'avoir bâti des fondations solides au départ.