Consentement, base légale, preuve, durée de conservation, désabonnement, hébergement européen : le guide pratique pour envoyer vos campagnes sans risquer une sanction CNIL.
Mis à jour le 22 juin 2026
Envoyer une newsletter ou une campagne d'email marketing en Europe, c'est traiter des données personnelles — et donc respecter le RGPD. En 2026, la CNIL et ses homologues européens continuent de sanctionner les manquements les plus courants : consentement bancal, désabonnement absent, conservation sans limite. Bonne nouvelle : la conformité tient en une poignée de réflexes. Voici la checklist pratique, point par point, pour partir tranquille.
Ce guide est informatif et ne constitue pas un avis juridique. Pour un cas particulier, consultez un professionnel du droit ou votre délégué à la protection des données (DPO).
Le RGPD exige un consentement libre, spécifique, éclairé et univoque. Concrètement : une case à cocher non pré-cochée, une finalité claire (« recevoir notre newsletter »), et aucune obligation déguisée. Pas de consentement « groupé » avec les CGU, pas de case pré-validée.
Recueillir le consentement ne suffit pas : il faut pouvoir le prouver. En cas de contrôle, vous devez démontrer qui a consenti, quand, à quelle finalité et via quel canal. Conservez la date, la source (formulaire, import, double opt-in), l'adresse IP le cas échéant et la version de la politique acceptée.
Le double opt-in (un email de confirmation après l'inscription) n'est pas strictement obligatoire, mais il reste la meilleure pratique : il valide l'adresse, élimine les fautes de frappe et constitue une preuve solide. Il améliore aussi votre délivrabilité en filtrant les contacts non engagés.
Tout traitement repose sur une base légale. Pour la prospection commerciale électronique, c'est en général le consentement ; pour les clients existants, l'intérêt légitime peut s'appliquer sous conditions (produits ou services similaires, désabonnement systématique). Documentez la finalité de chaque collecte : un contact inscrit pour un livre blanc n'a pas forcément consenti à vos offres commerciales.
Chaque email marketing doit comporter un moyen de se désabonner simple, gratuit et immédiat. Le désabonnement doit être traité sans délai (et tracé). Un lien caché en gris pâle de 6 pixels n'est pas conforme : il doit être visible et fonctionnel. Idéalement, votre outil retire automatiquement le contact des envois dès le clic.
Vous ne pouvez pas conserver des données « pour toujours ». Fixez une durée justifiée et réévaluez les contacts inactifs (la CNIL évoque environ trois ans sans interaction pour la prospection). À l'expiration : supprimez, anonymisez, ou re-sollicitez le consentement. Préparez-vous aussi à répondre rapidement aux demandes de droit d'accès et de suppression — sous un mois en principe.
Où vivent vos données ? Les hébergeurs soumis au Cloud Act américain peuvent être légalement contraints de transférer des données, même stockées en Europe. Pour réduire l'incertitude juridique et rassurer vos contacts, privilégiez un hébergement européen avec un encadrement clair des sous-traitants. Ce n'est pas une garantie absolue, mais c'est le choix le plus défendable.
En cas de manquement, la CNIL peut prononcer un avertissement, une mise en demeure, puis une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Au-delà du chiffre, c'est surtout la confiance et la réputation qui sont en jeu. La plupart des sanctions visent des fondamentaux : consentement non prouvé, désabonnement non traité, conservation excessive.
| Point de contrôle | Exigence RGPD | Statut à vérifier |
|---|---|---|
| Consentement | Opt-in explicite, case non pré-cochée | À cocher |
| Preuve | Date, source, finalité, version conservées | À cocher |
| Registre des traitements | Traitements documentés et à jour | À cocher |
| Base légale | Consentement ou intérêt légitime justifié | À cocher |
| Mentions obligatoires | Responsable, finalité, droits, politique | À cocher |
| Désabonnement | Lien visible, gratuit, traité sans délai | À cocher |
| Durée de conservation | Limitée et justifiée, contacts inactifs purgés | À cocher |
| Droits d'accès / suppression | Réponse sous un mois | À cocher |
| Hébergement | Données en Europe, sous-traitants encadrés | À cocher |
À retenir. La conformité RGPD n'est pas un projet ponctuel mais une hygiène continue. Recueillez un consentement explicite, gardez-en la preuve, proposez un désabonnement réel, limitez la conservation et hébergez en Europe. Avec ces réflexes, vous envoyez sereinement — et vous renforcez la confiance de vos contacts.
Une partie de cette checklist peut être tenue par l'outil plutôt qu'à la main. Le CRM de MarketingAtelier gère un consentement granulaire par canal et par finalité avec un registre de preuves (date, source, version de la politique). Les formulaires appliquent un consentement RGPD systématique — un contact recueilli sans accord explicite est créé mais exclu du marketing. L'envoi intègre un désabonnement automatique qui retire le contact des campagnes dès le clic. Et l'ensemble est hébergé en Europe, à l'écart du Cloud Act.
Comparez les offres ou créez un compte gratuit pour mettre en place une collecte conforme dès vos premiers contacts.
MarketingAtelier réunit email, CRM, sites, formulaires, social et création visuelle IA dans une seule plateforme. Testez gratuitement.