RGPD et marketing : conformité email et SMS

Envoyer un email ou un SMS promotionnel sans respecter les règles du RGPD et de la LCEN expose à des amendes pouvant atteindre 20 millions d’euros. La CNIL a sanctionné en 2022 ACCOR à hauteur de 600 000 euros (Délibération n° SAN-2022-017, 3 août 2022) notamment pour des manquements liés à la prospection commerciale. Ce guide détaille les obligations concrètes pour vos campagnes RGPD marketing email et SMS.

Points Clés

• En B2C, le consentement préalable (opt-in) est obligatoire avant tout envoi de prospection commerciale par email ou SMS (Art. L.34-5 CPCE / LCEN).
• En B2B, la prospection est possible sans consentement préalable si elle est en rapport avec l’activité professionnelle du destinataire et qu’un droit d’opposition est prévu.
• Chaque message doit contenir un lien de désinscription fonctionnel et l’identité de l’annonceur.
• Les bases de données marketing doivent être nettoyées régulièrement : la CNIL recommande un maximum de 3 ans d’inactivité avant suppression.

Cadre juridique : RGPD et LCEN, deux textes complémentaires

La conformité des campagnes marketing repose sur deux textes distincts mais complémentaires.

Le RGPD (Règlement UE 2016/679) encadre le traitement des données personnelles : collecte, stockage, utilisation des adresses email et numéros de téléphone. Il impose une base juridique valide (Art. 6 RGPD), une information transparente (Art. 13 RGPD) et le respect des droits des personnes (Art. 15 à 22 RGPD).

La LCEN (Loi pour la Confiance dans l’Économie Numérique, 2004) et l’article L.34-5 du Code des postes et des communications électroniques (CPCE) transposent la directive ePrivacy 2002/58/CE. Ce texte impose spécifiquement le consentement préalable pour la prospection commerciale par voie électronique en B2C.

La distinction est essentielle : même si vous disposez d’une base légale RGPD, vous devez également respecter les règles spécifiques de la LCEN sur le consentement marketing.

Opt-in B2C : le consentement préalable obligatoire

En matière de prospection commerciale par email ou SMS auprès de particuliers, le principe est clair : pas d’envoi sans consentement préalable. L’Art. L.34-5 du CPCE exige que la personne ait exprimé son accord avant toute sollicitation.

Ce consentement doit être conforme aux exigences du RGPD (Art. 7 RGPD) : libre, spécifique, éclairé et univoque. Concrètement, cela signifie :

• Une case à cocher non pré-cochée, distincte des CGV.
• Une information claire sur la finalité (recevoir des offres commerciales de X).
• La possibilité de refuser sans conséquence sur le service principal.
• Une preuve de consentement conservée (horodatage, adresse IP, formulaire utilisé).

L’exception du “soft opt-in”. L’Art. L.34-5 alinéa 2 du CPCE prévoit une exception : si la personne est déjà cliente et que la prospection concerne des produits ou services analogues à ceux déjà achetés, le consentement préalable n’est pas requis. Un droit d’opposition doit néanmoins être proposé au moment de la collecte et dans chaque message.

Prospection B2B : règles spécifiques

En B2B, les règles sont plus souples mais pas inexistantes. La prospection commerciale par email vers des adresses professionnelles (prenom.nom@entreprise.fr) n’exige pas de consentement préalable, sous deux conditions cumulatives :

• Le message doit être en rapport avec la fonction professionnelle du destinataire.
• Un mécanisme d’opposition simple doit être prévu dès le premier envoi.

La base juridique RGPD applicable est généralement l’intérêt légitime (Art. 6(1)(f) RGPD), qui nécessite la réalisation d’un test de balance des intérêts. La CNIL a rappelé dans sa délibération n° SAN-2020-003 du 27 janvier 2020 (sanction de 500 000 euros contre Futura Internationale) que l’envoi massif de SMS commerciaux sans opposition effective constitue un manquement grave.

Attention : les adresses de type info@, contact@ ou generique@ ne sont pas des adresses personnelles. Leur utilisation pour de la prospection ne relève pas du RGPD mais peut constituer un manquement aux règles de la LCEN.

Gestion des listes et qualité des données

La gestion des listes de diffusion est un point critique pour la conformité RGPD marketing email.

Durée de conservation. La CNIL recommande une durée maximale de 3 ans à compter du dernier contact actif (achat, clic, ouverture) pour les données de prospects. Pour les clients, la durée de conservation est liée à la relation commerciale, prolongée de 3 ans après la fin de la relation à des fins de prospection.

Segmentation et minimisation. L’Art. 5(1)© RGPD impose la minimisation des données. Ne collectez que les données strictement nécessaires à la campagne : email, nom, éventuellement préférences de communication. Le registre des traitements doit documenter chaque traitement marketing avec ses finalités, bases légales et durées de conservation.

Achat de fichiers. L’achat de bases de données marketing constitue un risque majeur. L’acheteur devient responsable de traitement et doit vérifier que le consentement a été valablement recueilli par le vendeur pour la finalité de prospection par des tiers. La CNIL a sanctionné à plusieurs reprises des entreprises utilisant des fichiers acquis sans vérification du consentement.

Legiscope permet d’auditer automatiquement vos traitements marketing et de vérifier la conformité des bases légales, durées de conservation et mentions d’information associées à chaque campagne.

Désinscription et droits des personnes

Chaque email ou SMS commercial doit obligatoirement contenir un mécanisme de désinscription fonctionnel et gratuit. L’Art. L.34-5 du CPCE et l’Art. 21 RGPD (droit d’opposition) convergent sur ce point.

Délai de traitement. La désinscription doit être effective dans un délai raisonnable, en pratique sous 48 à 72 heures au maximum. La CNIL considère qu’un délai supérieur constitue un manquement.

Format du lien. Le lien de désinscription doit être visible, accessible en un clic maximum et ne pas nécessiter de connexion à un compte. Les pratiques de type “envoyez STOP par SMS” doivent être gratuites pour le destinataire.

Gestion de la preuve. Conservez les traces de désinscription (date, canal, identifiant) pour pouvoir démontrer votre conformité en cas de contrôle. La CNIL vérifie systématiquement la gestion des demandes d’opposition lors de ses contrôles.

Sanctions CNIL dans le secteur marketing

Le marketing est l’un des secteurs les plus sanctionnés par la CNIL. Voici les décisions de référence.

• ACCOR : 600 000 euros (Délibération n° SAN-2022-017, août 2022) pour des emails marketing envoyés sans consentement conforme et un droit d’opposition défaillant.
• Futura Internationale : 500 000 euros (Délibération n° SAN-2020-003, janvier 2020) pour envoi massif de SMS non sollicités.
• Performeclic : 100 000 euros (Délibération n° SAN-2023-003, mars 2023) pour prospection téléphonique sans consentement avec traitement de données de manière déloyale.
• Free Mobile : 300 000 euros (Délibération n° SAN-2022-023, novembre 2022) pour des emails marketing envoyés malgré l’opposition des abonnés.

Ces décisions montrent que la CNIL sanctionne tant les grands groupes que les PME, et que les montants augmentent régulièrement.

Checklist de conformité marketing

Pour chaque campagne email ou SMS, vérifiez les points suivants :

1. Base légale documentée : consentement opt-in (B2C) ou intérêt légitime avec test de balance (B2B).
2. Mentions d’information : identité de l’annonceur, finalité, droit d’opposition, coordonnées du DPO.
3. Lien de désinscription : visible, fonctionnel, en un clic.
4. Registre à jour : traitement marketing documenté dans le registre des traitements.
5. Durée de conservation : 3 ans maximum d’inactivité pour les prospects.
6. Preuve de consentement : horodatage, IP, formulaire pour chaque opt-in B2C.

Legiscope automatise l’audit de ces obligations et génère des recommandations personnalisées pour chaque traitement marketing identifié dans votre registre.

FAQ

Peut-on envoyer des emails marketing sans consentement en B2B ?

Oui, sous conditions. La prospection par email vers des adresses professionnelles nominatives est autorisée sans consentement préalable si le message est en rapport avec la fonction professionnelle du destinataire et qu’un droit d’opposition est proposé dès le premier envoi. La base légale RGPD est l’intérêt légitime (Art. 6(1)(f) RGPD), qui nécessite un test de balance des intérêts documenté.

Le double opt-in est-il obligatoire en France ?

Non. Le RGPD et la LCEN exigent un consentement préalable mais n’imposent pas le mécanisme du double opt-in (email de confirmation). Cependant, le double opt-in constitue la meilleure preuve de consentement en cas de contrôle CNIL et est fortement recommandé par la pratique.

Combien de temps peut-on conserver les données de prospects ?

La CNIL recommande une durée maximale de 3 ans à compter du dernier contact actif (achat, clic, ouverture d’email). Au-delà, les données doivent être supprimées ou anonymisées, sauf justification documentée. Cette durée doit figurer dans le registre des traitements et dans les mentions d’information.

Quelles sanctions pour l’envoi de SMS marketing non sollicités ?

Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial au titre du RGPD. La CNIL a déjà prononcé des amendes de 500 000 euros pour ce type de manquement (Futura Internationale, 2020). L’envoi de SMS non sollicités constitue également une infraction pénale au titre de l’Art. 226-18-1 du Code pénal.