ConformeRGPD
Retour au blog

SMS marketing et RGPD en 2026 : consentement, opt-in et règles CNIL

Envoyer des SMS promotionnels sans consentement valable expose à des sanctions. Règles d'opt-in, B2C vs B2B, mentions obligatoires, désinscription : le guide du SMS marketing conforme RGPD.

SMS marketing et RGPD en 2026 : consentement, opt-in et règles CNIL

Le SMS marketing affiche des taux d'ouverture imbattables, mais c'est aussi l'un des canaux les plus encadrés. Un numéro de téléphone est une donnée personnelle, et l'envoi de SMS promotionnels obéit à des règles strictes de consentement. Voici ce qu'il faut respecter en 2026.

Le principe : opt-in préalable obligatoire

Pour la prospection par SMS auprès de particuliers (B2C), la règle est claire : consentement préalable explicite. La personne doit avoir activement accepté de recevoir vos SMS commerciaux, par une case à cocher non pré-cochée ou une action équivalente.

Ce consentement doit être :

  • libre : pas une condition pour obtenir un service sans lien ;
  • spécifique : pour le canal SMS et la finalité marketing ;
  • éclairé : la personne sait qui vous êtes et pourquoi ;
  • univoque : un acte positif clair, jamais une case déjà cochée.

C'est la même logique que pour l'email marketing : le SMS étant plus intrusif, la CNIL y est particulièrement attentive.

L'exception client : le « soft opt-in »

Vous pouvez prospecter par SMS sans consentement préalable un de vos clients existants, à deux conditions cumulatives :

  1. le numéro a été collecté lors d'une vente, et
  2. la prospection concerne des produits ou services analogues à ceux déjà fournis.

Même dans ce cas, vous devez offrir un moyen de refus simple au moment de la collecte et dans chaque message.

B2B : une nuance, pas une dispense

En B2B, la prospection peut s'appuyer sur l'intérêt légitime si le message est en rapport avec la fonction professionnelle de la personne (cf. prospection commerciale et cold email). Mais pour le SMS sur un mobile personnel d'un professionnel, la frontière est floue : la prudence impose souvent un consentement. N'assimilez pas « B2B » à « tout est permis ».

Les obligations dans chaque SMS

Chaque SMS promotionnel doit :

  • identifier l'expéditeur (nom de votre entreprise/marque clairement reconnaissable) ;
  • proposer un moyen de désinscription simple et gratuit (par exemple « STOP » au 36xxx) ;
  • ne pas masquer le caractère commercial du message.

Le mécanisme « STOP » doit être réellement fonctionnel et la désinscription immédiate. Conservez la preuve du traitement des demandes STOP.

Conservation et preuve du consentement

  • Conservez la preuve du consentement (date, source, formulation exacte) aussi longtemps que vous prospectez la personne. C'est à vous de prouver le consentement en cas de contrôle.
  • Les coordonnées de prospects non clients se conservent en général 3 ans à compter du dernier contact (cf. durées de conservation RGPD).
  • Tenez à jour une liste d'opposition (numéros STOP) pour ne jamais les recontacter.

Inscrivez ce traitement « prospection SMS » dans votre registre des traitements.

Choisir une plateforme d'envoi conforme

Votre routeur SMS est un sous-traitant : il vous faut un DPA et, idéalement, un hébergement UE (cf. sous-traitant et DPA). Quelques acteurs avec infrastructure européenne :

  • Brevo (France) — SMS + email, DPA et hébergement UE.
  • SMSFactor / smsmode (France) — routeurs SMS français.
  • Vonage / Twilio — puissants mais entités hors UE : vérifiez le cadre de transfert (transferts hors UE).

Mentionner la prospection SMS dans votre politique

Indiquez, dans votre politique de confidentialité, que vous traitez les numéros à des fins de prospection, la base légale (consentement ou intérêt légitime), la durée de conservation et le droit d'opposition.

Checklist conformité SMS marketing

  • [ ] Opt-in explicite recueilli (case non pré-cochée) pour le B2C
  • [ ] Preuve du consentement conservée (date, source, libellé)
  • [ ] Expéditeur clairement identifiable dans chaque SMS
  • [ ] Désinscription « STOP » fonctionnelle et immédiate dans chaque message
  • [ ] Liste d'opposition tenue à jour et respectée
  • [ ] DPA signé avec la plateforme d'envoi
  • [ ] Durée de conservation des prospects définie (3 ans après dernier contact)
  • [ ] Traitement inscrit au registre des traitements

Vos formulaires collectent-ils des numéros sans consentement clair ? Scannez votre site gratuitement pour repérer les points à corriger.

Vérifiez la conformité de votre site en 5 minutes

Recevez vos conseils de conformité RGPD

Un email occasionnel avec l'essentiel de la conformité RGPD pour votre site. Désinscription en un clic.

À lire aussi

Cookie wall (mur de cookies) : est-ce légal en 2026 ?

Conditionner l'accès à un site à l'acceptation des cookies (cookie wall) : ce que dit la CNIL, les critères de licéité, les alternatives comme le paywall ou cookie wall. Guide clair pour éditeurs de sites et médias.

Google Analytics et RGPD : est-ce encore légal en 2026 ?

GA4, Consent Mode, transferts hors UE : ce que dit vraiment la CNIL en 2026 et comment utiliser Google Analytics sans risquer une mise en demeure.

RGPD et application mobile en 2026 : géolocalisation, SDK et consentement

Une app mobile collecte identifiants publicitaires, géolocalisation et données via des SDK tiers. Consentement, transparence du suivi, permissions, SDK analytics et pub : le guide RGPD des apps iOS et Android.