ConformeRGPD
Retour au blog

RGPD et newsletter : les règles du email marketing en 2026

Consentement, opt-in, désinscription, prospection B2B : tout ce qu'il faut savoir pour envoyer une newsletter conforme RGPD en 2026 sans risquer de sanction.

RGPD et newsletter : les règles du email marketing en 2026

Une newsletter, c'est un fichier d'adresses email — donc des données personnelles, et de la prospection. Deux réglementations s'appliquent en même temps : le RGPD et la directive ePrivacy (transposée dans le Code des postes et des communications électroniques). Beaucoup de sites collectent des emails « parce que tout le monde le fait » sans base légale valable. Voici les règles claires pour 2026.

La règle de base : opt-in préalable

Pour envoyer une newsletter ou des emails commerciaux à un particulier, il faut son consentement préalable, libre, spécifique et éclairé — un opt-in actif :

  • une case décochée par défaut que la personne coche elle-même ;
  • une finalité claire au moment de la collecte (« recevoir notre newsletter », pas noyé dans les CGV) ;
  • pas de pré-cochage, pas de consentement « groupé » avec autre chose.

Le simple fait de laisser son email pour télécharger un livre blanc ne vaut pas consentement à recevoir une newsletter : ce sont deux finalités distinctes. Si vous voulez les deux, demandez les deux explicitement.

L'exception B2B et la prospection « clients »

Deux nuances importantes :

  • Prospection vers des professionnels (adresse prenom.nom@entreprise.fr) : la prospection est possible sans consentement préalable si l'objet du message est en rapport avec la profession de la personne, avec information et droit d'opposition à chaque envoi. Les adresses génériques (contact@, info@) sont encore plus souples.
  • Clients existants : vous pouvez prospecter un client sur des produits/services similaires à ce qu'il a déjà acheté, sans nouveau consentement, à condition qu'il puisse s'y opposer simplement dès la collecte et à chaque email.

En dehors de ces cas (donc : prospection de particuliers B2C), l'opt-in est obligatoire.

Vérifiez la conformité de votre site en 5 minutes

Les mentions obligatoires dans chaque email

Chaque email marketing doit contenir :

  1. l'identité de l'expéditeur clairement identifiable ;
  2. un lien de désinscription fonctionnel, visible, en un clic, traité sans délai ;
  3. un rappel de l'origine des données et un lien vers votre politique de confidentialité.

Un lien de désinscription qui renvoie vers un formulaire de connexion, ou qui « met 30 jours à être pris en compte », est non conforme.

Preuve du consentement : à conserver

En cas de contrôle, c'est à vous de prouver que chaque abonné a consenti. Conservez, pour chaque adresse : la date, la source (quel formulaire), et le texte exact de la case cochée. La plupart des outils d'emailing sérieux journalisent ça — encore faut-il l'activer et ne pas importer de listes « achetées » (illégales et impossibles à justifier).

Durée de conservation

  • Prospects : si pas de relation après ~3 ans depuis le dernier contact, l'adresse doit être supprimée ou anonymisée.
  • Désinscrits : on conserve uniquement le strict nécessaire (une liste de suppression / « ne plus contacter ») pour ne pas les re-solliciter — pas tout l'historique marketing.

Le piège technique : le formulaire et les cookies

Le formulaire d'inscription lui-même peut poser problème : s'il est fourni par un outil tiers (pop-up, embed) qui dépose des cookies ou charge des scripts avant consentement, vous cumulez une infraction cookies en plus. Le double opt-in (email de confirmation) reste la meilleure pratique pour prouver la validité de l'adresse et du consentement.

Pour savoir ce que votre formulaire et vos outils déclenchent réellement sur le site, le plus rapide est de scanner votre site : vous verrez les scripts tiers et cookies posés par vos pop-ups et widgets d'emailing.

Check-list newsletter conforme 2026

| Élément | Conforme si… | | --- | --- | | Collecte | Opt-in actif, case décochée, finalité claire et isolée | | B2B / clients | Information + opposition simple, objet en lien | | Chaque email | Expéditeur identifié + désinscription 1 clic immédiate | | Preuve | Date, source et libellé du consentement conservés | | Listes | Jamais d'achat/location de fichiers | | Conservation | Prospects purgés ~3 ans, désinscrits en liste de suppression | | Formulaire | Pas de script/cookie tiers avant consentement |

En résumé

Une newsletter conforme tient en une phrase : on n'écrit qu'à des gens qui ont dit oui (ou qui relèvent d'une exception précise), on prouve ce oui, et on permet de partir en un clic. Le reste — design, fréquence, contenu — est libre. Commencez par vérifier que votre formulaire et vos outils ne trahissent pas déjà le RGPD : scan gratuit ici.

Pour aller plus loin

Recevez vos conseils de conformité RGPD

Un email occasionnel avec l'essentiel de la conformité RGPD pour votre site. Désinscription en un clic.

À lire aussi

Mailchimp et RGPD en 2026 : l'utiliser en conformité (ou changer d'outil)

Mailchimp est un outil américain : utilisation = transfert de données hors UE, sous-traitance, consentement. Comment l'utiliser en conformité avec le RGPD, et quelles alternatives européennes envisager pour votre newsletter.

Google Analytics et RGPD : est-ce encore légal en 2026 ?

GA4, Consent Mode, transferts hors UE : ce que dit vraiment la CNIL en 2026 et comment utiliser Google Analytics sans risquer une mise en demeure.

Airtable et RGPD en 2026 : base de données no-code conforme

Airtable héberge souvent des données personnelles (contacts, clients, candidats) aux États-Unis. Sous-traitance, transferts hors UE, partages de bases, durées de conservation : le guide RGPD d'Airtable.