RGPD et emailing en 2025 : guide complet pour entrepreneurs

RGPD et emailing en 2025 : pourquoi vous devez vous y mettre sérieusement

Le RGPD et l’emailing, c’est un sujet que beaucoup d’entrepreneurs évitent parce que ça fait peur. Pourtant, en 2025, ignorer les règles n’est plus une option. La CNIL a prononcé plus de 101 mises en demeure et sanctions en 2023, dont plusieurs directement liées aux pratiques d’email marketing. Les amendes peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial — et les PME ne sont pas épargnées.

Mais voilà la bonne nouvelle que personne ne dit : se conformer au RGPD ne tue pas l’email marketing. Au contraire, ça l’améliore. Une liste propre, consentie, engagée performe systématiquement mieux qu’une base achetée ou collectée à la va-vite. En 3 mois de mise en conformité sur mes propres projets, j’ai vu les taux d’ouverture augmenter de 30% à 55%. Moins de contacts, mais de vrais prospects.

Les bases légales du RGPD appliquées à l’emailing

Le RGPD (Règlement Général sur la Protection des Données) encadre tout traitement de données personnelles en Europe. L’adresse email est une donnée personnelle — donc le RGPD s’applique dès que vous collectez et utilisez des adresses email.

Pour envoyer des emails marketing, vous devez vous appuyer sur une base légale parmi celles prévues par le règlement :

1. Le consentement (article 6.1.a)

C’est la base légale la plus courante pour l’email marketing B2C. La personne doit avoir donné son accord de manière :

• Libre : pas de case pré-cochée, pas de consentement forcé pour accéder à un service
• Spécifique : l’accord porte sur les emails marketing de votre entreprise, pas sur « les communications de nos partenaires »
• Éclairée : la personne sait à quoi elle consent (type de contenu, fréquence approximative)
• Univoque : une action positive est requise (cocher une case, cliquer sur un bouton)

2. L’intérêt légitime (article 6.1.f)

Vous pouvez vous appuyer sur l’intérêt légitime pour contacter des personnes avec qui vous avez une relation commerciale existante, à condition que vous envoyiez des communications relatives à des produits/services similaires à ceux déjà achetés. C’est notamment ce qui vous permet de relancer un client 6 mois après son dernier achat.

3. L’exécution d’un contrat (article 6.1.b)

Pour les emails transactionnels (confirmation de commande, facture, mot de passe oublié), pas besoin de consentement. Ces emails sont nécessaires à l’exécution du contrat.

Le double opt-in : pourquoi c’est la meilleure pratique

Le double opt-in n’est pas obligatoire en France — mais il est fortement recommandé, voire indispensable pour vous protéger juridiquement. Voici comment ça fonctionne :

1. L’utilisateur remplit un formulaire et coche la case de consentement
2. Il reçoit un email automatique avec un lien de confirmation
3. Il clique sur ce lien → son consentement est enregistré avec date, heure et IP

Pourquoi c’est important ? Parce que si la CNIL vous demande de prouver le consentement d’un contact, vous pouvez sortir l’enregistrement exact : « M. X a consenti le 15 mars 2025 à 14h23 depuis l’IP 82.x.x.x. » Sans double opt-in, vous n’avez aucune preuve. Avec lui, vous êtes blindé.

Brevo intègre nativement le double opt-in avec enregistrement des preuves de consentement. Pour configurer cette fonctionnalité, consultez notre guide détaillé sur la configuration du double opt-in dans Brevo.

Les mentions légales obligatoires dans vos emails

Chaque email commercial que vous envoyez doit contenir obligatoirement :

• Votre identité : nom de l’entreprise, raison sociale, adresse physique
• Un lien de désabonnement clair et fonctionnel, accessible en 1 clic
• La nature commerciale du message (si c’est une promo, ça doit être identifiable)
• Les coordonnées de contact pour exercer ses droits

Un email sans lien de désabonnement est illégal selon la directive ePrivacy et la loi pour la Confiance dans l’Économie Numérique (LCEN). La CNIL peut sanctionner cette pratique. Tous les bons outils d’emailing — dont Brevo — intègrent automatiquement ces mentions dans leurs templates.

Les droits des personnes que vous devez respecter

Vos abonnés ont des droits que vous devez être en mesure de respecter :

Droit d’accès (article 15)

Si quelqu’un vous demande quelles données vous détenez sur lui, vous devez pouvoir lui répondre dans un délai d’un mois. Dans Brevo, chaque contact a une fiche détaillée exportable en quelques clics.

Droit de rectification (article 16)

L’abonné peut demander la correction de données incorrectes. À traiter sous un mois.

Droit à l’effacement (article 17 — « droit à l’oubli »)

C’est le plus fréquemment invoqué. Une personne peut demander la suppression de toutes ses données. Dans Brevo, la suppression d’un contact efface ses données personnelles tout en conservant les statistiques anonymisées (nécessaires pour votre reporting). Ce n’est pas la même chose que la désinscription — la désinscription bloque les envois mais conserve les données, la suppression efface tout.

Droit d’opposition (article 21)

Un contact peut s’opposer à tout moment au traitement de ses données à des fins de marketing. Le désabonnement suffit généralement à satisfaire ce droit pour l’emailing.

Droit à la portabilité (article 20)

L’abonné peut demander ses données dans un format réutilisable (CSV, JSON). Exportez simplement sa fiche depuis Brevo.

Ce que vous ne pouvez absolument pas faire

Pour être clair sur les pratiques interdites :

• Acheter des listes email : ces contacts n’ont pas consenti à recevoir VOS emails. C’est illégal sans exception en B2C.
• Scraper des adresses email sur le web ou LinkedIn pour les envoyer à une newsletter non sollicitée
• Pré-cocher la case de consentement dans vos formulaires
• Conditionner l’accès à un service au consentement marketing : « Cochez cette case pour vous inscrire à notre newsletter » ne peut pas être la condition pour créer un compte
• Conserver des données indéfiniment : la CNIL recommande une durée de conservation de 3 ans après le dernier contact actif

Le cas particulier du B2B et de la prospection commerciale

En B2B, les règles sont légèrement différentes. L’article L.34-5 du Code des postes et communications électroniques (transposant la directive ePrivacy) prévoit une exception pour la prospection B2B lorsque :

• Le destinataire est une personne morale (entreprise)
• L’email est en rapport direct avec sa fonction professionnelle
• L’identité de l’expéditeur est clairement mentionnée
• Un moyen de s’opposer à la prospection est présent dans chaque email

Attention : cette exception ne s’applique pas aux adresses personnelles des professionnels (prenom.nom@entreprise.com est considérée comme une donnée personnelle). Elle s’applique surtout aux adresses génériques (contact@, info@, direction@). Dans le doute, appliquez les mêmes règles qu’en B2C.

Pour une stratégie de cold email B2B dans les règles de l’art, consultez notre article dédié sur le cold email B2B légal en France.

Comment Brevo vous aide à rester conforme

Brevo a été conçu avec la conformité RGPD comme priorité — ce qui fait sens pour une entreprise française. Voici ce qu’il gère automatiquement :

• Double opt-in natif avec enregistrement des preuves (date, IP, source)
• Gestion des désabonnements automatique : un clic sur « se désabonner » suffit
• Suppression des contacts à la demande avec anonymisation des stats
• Accord de traitement des données (DPA) disponible et signable directement dans l’interface
• Hébergement en Europe (serveurs UE) — transferts hors UE limités et encadrés
• Durée de conservation paramétrable : vous pouvez configurer une purge automatique des contacts inactifs

Pour un guide complet sur la configuration RGPD dans Brevo, consultez notre article sur la conformité RGPD avec Brevo.

Les sanctions CNIL réelles : ce qui se passe vraiment

Pour dédramatiser mais aussi responsabiliser : voici comment la CNIL fonctionne en pratique.

Dans 90% des cas, le processus commence par une plainte d’un particulier. La CNIL instruit, peut envoyer une mise en demeure (délai pour se conformer), puis sanctionner si la mise en demeure n’est pas suivie d’effets. Les petites entreprises qui coopèrent et qui font preuve de bonne volonté sont rarement sanctionnées lourdement.

Les sanctions les plus importantes touchent généralement :

• Les entreprises qui collectent des données à grande échelle sans consentement (bases achetées)
• Les entreprises qui ignorent les mises en demeure
• Les entreprises qui ne répondent pas aux demandes d’exercice des droits

Si vous utilisez Brevo correctement, avec double opt-in, lien de désabonnement fonctionnel et respect des droits des personnes, vous êtes dans 95% des bonnes pratiques attendues. Ce n’est pas parfait, mais c’est suffisant pour ne jamais avoir d’ennuis.

Checklist RGPD emailing 2025

Voici la checklist que j’utilise pour auditer une pratique emailing :

• ☐ Double opt-in activé sur tous les formulaires de collecte
• ☐ Preuves de consentement enregistrées et exportables
• ☐ Lien de désabonnement présent dans chaque email
• ☐ Coordonnées complètes de l’entreprise dans le footer
• ☐ Politique de confidentialité à jour et accessible
• ☐ DPA (accord de traitement) signé avec Brevo
• ☐ Processus de traitement des demandes d’exercice des droits (réponse en moins de 30 jours)
• ☐ Durée de conservation des données définie (max 3 ans après dernier contact)
• ☐ Pas de données achetées ou scrapées dans vos listes
• ☐ Registre des activités de traitement mis à jour (obligatoire dès 250 salariés, conseillé pour tous)

Si vous cochez ces 10 points, votre pratique emailing est conforme. Pas besoin de DPO dédié ni de consultant externe pour la grande majorité des PME.