Newsletters et RGPD : Comment assurer la conformité de votre emailing

3/6/2026
Tous les guides
⚙️ Mise en oeuvre

Avant toute chose, c'est quoi un newsletter RGPD conforme ?

Une newsletter conforme au RGPD est une communication emailling périodique (hebdomadaire, mensuelle, trimestrielle, etc.) envoyée à des destinataires qui ont donné leur consentement explicite pour le recevoir. Ce consentement doit être écrit, opt-in ou (dans le contexte commercial existant), enregistré et facilement révocable.

Les éléments clés d'une newsletter conforme au RGPD sont :

  • L'existence d'une adresse email valide de l'envoyeur ;
  • L'identification claire de l'organisme responsable de l'envoi ;
  • L'affichage de l'intitulé "newsletter" ou "email marketing" dans l'objet pour que le destinataire sache ce qu'il reçoit ;
  • La présence obligatoire d'un lien de désinscription visible dans chaque envoi ;
  • La mention des coordonnées du responsable de traitement ;
  • Une durée de conservation limitée des adresses e-mails collectées.

La base légale de votre newsletter : consentement ou intérêt légitime ?

Avant d'envoyer une newsletter, vous devez identifier quelle base légale autorise l'envoi. Le RGPD propose 6 bases légales (listees à l'article 6). Pour une newsletter, deux bases légales sont possibles :

Base 1 : Le consentement (article 6.1.a du RGPD)

Le consentement est la base légale la plus courante en matière d'emailling. Il s'agit de recueillir le consentement explicite de la personne avant d'envoyer une newsletter.

  • Consentement opt-in : L'utilisateur doit activer une case à cocher pour s'inscrire à la newsletter. C'est la forme la plus exigeante du consentement.
  • Consentement opt-out : L'utilisateur est automatiquement inscrit à la newsletter, mais a la possibilité de se désinscrire. Cette forme n'est pas valide au titre du RGPD pour une newsletter (sauf si client existant avec un service associé).

Le consentement doit être enregistré dans votre registre de traitement et doit être explicite et libre.

Pour recueillir un opt-in réellement valide (case décochée par défaut, finalité explicite, preuve horodatée), appuyez-vous sur notre guide dédié à l'opt-in pour la newsletter.

Base 2 : L'intérêt légitime (article 6.1.f du RGPD)

En tant que commerce ou organisation, vous avez l'intérêt légitime d'envoyer une newsletter à vos clients existants. Cette base légale vous permet d'envoyer une newsletter à des clients sans consentement explicite préalable, condition que vous :

  • Offriez un droit d'opposition (désinscription) simple et gratuit dans chaque communication ;
  • Respectiez les droits et attentes légitimes de vos clients ;
  • Vous limitiez uniquement à vos clients existants (pas de prospection froid).

L'intérêt légitime est une base plus souple que le consentement, mais elle ne s'applique que dans certains contextes (clients existants, secteur activité analogue, communication directe limitée).

Tous les éléments d'une newsletter conforme au RGPD

1 - L'adresse e-mail de l'expéditeur

Votre newsletter doit provenir d'une adresse e-mail valide, idéalement un domaine de votre entreprise. Nous recommandons l'utilisation du format contact@votresentreprise.fr ou newsletter@votresentreprise.fr plutôt que noreply@votresentreprise.fr. Évitez tout domaine suspect ou générique ("contact@gmail.com", par exemple).

2 - L'identité de l'expéditeur

L'objet et le pied de page doivent identifier clairement votre organisation :

  • Affichage du nom de l'entreprise en en-tête ;
  • Affichage des coordonnées complètes (adresse, numéro de téléphone, adresse email) dans le pied de page ;
  • Présence du numéro SIRET ou Kbis pour les structures légales obligatoires.

3 - L'objet de la newsletter et la transparence

L'objet de la newsletter doit clairement indiquer qu'il s'agit d'une newsletter. Ne pas utiliser un objet trompeur (ex: "information exclusive", "votre avis nous intresse"). Exemple d'objet conforme :

  • "Newsletter Leto - Les actualités RGPD d'avril" ;
  • "Votre newsletter mensuelle du 15 avril" ;
  • "Mise à jour RGPD - Avril 2025 (Newsletter)".

4 - Le lien de désinscription obligatoire

Chaque newsletter doit inclure un lien de désinscription ("Cliquez ici pour vous désinscrire" ou "Opt-out") visible dans le pied de page. Ce lien doit :

  • Etre cliquable en un seul clic ;
  • Ne pas exiger de justification ;
  • Traiter la désinscription dans un délai de 24-48 heures maximum ;
  • Etre fonctionnel à 100% (pas de lien cassé).

5 - Les mentions légales

Votre newsletter doit inclure les mentions légales suivantes :

  • L'identité du responsable de traitement (vous-même) ;
  • L'adresse complète et email de l'entreprise ;
  • La durée de conservation des données e-mail (ex: "2 ans après la dernière interaction") ;
  • Les droits RGPD de la personne : accés, rectification, effacement, opposition, limitation, portabilité ;
  • L'identité du délégué à la protection des données (DPO), si applicable ;
  • L'origine des données de contact ("Vous avez souscrit via notre formulaire" ou "vous êtes un client existant") ;
  • Un lien vers la politique de confidentialité complète.

Pour rédiger correctement ces informations obligatoires, appuyez-vous sur notre guide des mentions légales obligatoires en email.

6 - La durée de conservation

Vous devez préciser combien de temps vous conservez les adresses email des abonnés à votre newsletter. Voici les bonnes pratiques :

  • Abonnés actifs : conserver aussi longtemps qu'ils restent inscrits ;
  • Abonnés désincrits : conserver "liste d'opposition" pendant minimum 3 ans pour éviter tout recontact accidentel ;
  • Absence d'ouverture ou clic : supprimer après 6 à 12 mois (optionnel mais recommandé pour la qualité).

Documentez cette durée dans votre registre de traitement, et assurez-vous qu'une procédure d'effacement automatique est en place dans votre outil email marketing.

Le consentement explicite à la newsletter

Où collecter le consentement ?

Le consentement à la newsletter peut être collecté via :

  • Un formulaire d'inscription à la newsletter sur votre site (checkbox opt-in obligatoire) ;
  • Un pop-up au chargement d'une page (avec une case à cocher pré-décochée) ;
  • Une page de confirmation après un achat (demander explicitement la permission d'envoyer la newsletter) ;
  • Une case à cocher dans un formulaire de contact ("Recevez nos actualités").

Attention : une case pré-cochée ("par défaut inscrit") ne constitue pas un consentement valide au titre du RGPD.

La conception du formulaire conditionne directement la validité du consentement : suivez notre guide pour créer un formulaire de consentement conforme.

Comment enregistrer le consentement ?

Le consentement doit être enregistré dans vos systèmes :

  • Date et heure du consentement ;
  • Identité de la personne qui a consenti ;
  • Nature du consentement ("Inscription newsletter") ;
  • Moyen de consentement (formulaire, email, téléphone) ;
  • Preuve du consentement (copie du formulaire, screenshot, email de confirmation).

Si vous utilisez un outil d'email marketing (Mailchimp, Brevo, HubSpot, etc.), celui-ci devrait conserver cette trace automatiquement.

Comment envoyer votre newsletter en conformité RGPD

Avant chaque envoi

  • Vérifiez que la liste des destinataires est à jour ;
  • Retirez les adresses des désinscrit de votre liste de diffusion ;
  • Contrôlez que votre newsletter identifie clairement l'expéditeur et le contenu (pas de "subject" trompeur) ;
  • Vérifiez la présence d'un lien de désinscription ;
  • Testez que le lien de désinscription fonctionne (ne redirige pas vers une page 404).

Traitement des désinscriptions

  • Dès qu'un utilisateur clique sur "Désinscrire", arrêtez immédiatement d'envoyer des newsletters à cette adresse ;
  • Ajoutez l'adresse à votre liste d'opposition (suppression list) ;
  • Vérifiez que aucun autre système (CRM, marketing automation) ne recontactera cette personne ;
  • Conservez cette liste pendant au moins 3 ans pour prouver votre conformité en cas d'inspection.

Gestion des bounces (adresses invalides)

  • Supprimez automatiquement les adresses qui "rebondissent" (hard bounce) depuis plus de 3 mois ;
  • Pour les soft bounces (temporaires), conservez-les dans votre liste mais marquez-les comme "inactives" ;
  • Ne répétez pas des envois massifs à des adresses invalides (c'est considéré comme du spam).

Les éléments interdit(s) pour une newsletter conforme au RGPD

  • Subject lénifiant ou trompeur ("Cliquez d'urgence", "Offre limitée", "Réponse demandée") sans rapport avec le contenu ;
  • Lien de désinscription cassé ou peu visible ;
  • Pas d'identité clairement affichée de l'expéditeur ;
  • Envoi à des adresses sans consentement préalable (sauf clients existants avec base légitime documentée) ;
  • Cas pré-cochée au téléchargement (opt-out par défaut) ;
  • Absence de lien vers votre politique de confidentialité ;
  • Aucune mention de la durée de conservation de l'adresse ;
  • Redirection du lien de désinscription vers une page de formulaire "compliquée" ;
  • Envoie de newsletter à une adresse de désinscrit (même par erreur).

Bonnes pratiques pour sa newsletter conforme

  • Gardez une trace de chaque envoi : date, nombre de destinataires, objet, taux d'ouverture ;
  • Envisagez d'envoyer un double opt-in : l'utilisateur reçoit un lien de confirmation à cliquer pour valider son inscription (redouble le consentement) ;
  • Segmentez votre audience : envoyez différents contenus selon le profil de vos abonnés (améliore l'engagement et réduit les désinscriptions) ;
  • Nettoyez votre liste tous les 6-12 mois : supprimez les adresses inactives, les rebonds répétés ;
  • Vérifiez que votre outil email marketing (Mailchimp, Brevo, HubSpot, Mailpoet) est conforme au RGPD (de plus en plus le cas, mais vérifiez en cas de doute) ;
  • Utilisez un sous-traitant de confiance pour vos envois et conservez un contrat de traitement de données (DPA) avec lui ;
  • Vérifiez les lois locales : certains pays (ex. : Espagne, Allemagne) ont des réglementations plus strictes que le RGPD pour l'email marketing.

Plateformes de newsletter conformes au RGPD

Choisir une plateforme d'emailing adaptée au RGPD est une étape clé de votre conformité. Au-delà des fonctionnalités marketing, les critères déterminants sont : l'existence d'un Data Processing Agreement (DPA) signable, la localisation des serveurs (UE ou garanties adéquates), et le support natif des droits RGPD (désinscription automatique, export de données, suppression sur demande).

Voici les cinq plateformes les plus utilisées et leur positionnement RGPD :

  • Brevo (ex-Sendinblue) : plateforme française, serveurs en France et en UE, DPA disponible, interface en français. Option solide pour les entreprises souhaitant rester dans l'espace européen.
  • Mailchimp : acteur américain dominant, DPA disponible, transferts UE-US couverts par les clauses contractuelles types (SCCs). Pour approfondir les implications RGPD de Mailchimp, consultez notre guide Mailchimp et RGPD.
  • HubSpot : solution CRM et emailing intégrée, DPA disponible, certifiée ISO 27001, gestion centralisée des consentements. Adaptée aux équipes marketing avec un besoin de traçabilité poussée.
  • Mailjet : plateforme franco-allemande (groupe Sinch), serveurs en UE, DPA inclus dans les conditions d'utilisation pro. Bonne alternative pour les PME et ETI françaises.
  • Sarbacane : éditeur français, hébergement 100% en France, DPA disponible, support francophone dédié. Choix privilégié pour les structures souhaitant une conformité RGPD facilitée.

Pour comparer ces outils à l'aune de vos obligations RGPD globales, consultez notre comparateur de logiciel de conformité DPO : il recense les solutions qui couvrent à la fois l'emailing et la gestion complète de votre registre de traitement.

Emailing B2B vs newsletter B2C : des règles différentes

La réglementation emailing France distingue deux régimes selon la nature de vos destinataires.

En B2C (Grand public), le consentement opt-in est obligatoire avant tout envoi commercial. Aucune exception : même pour une newsletter éditoriale, l'utilisateur doit avoir coché une case ou rempli un formulaire d'inscription explicite. C'est l'article L34-5 du Code des postes et des communications électroniques (CPCE) qui s'applique, en complément du RGPD.

En B2B, les règles sont plus souples mais restent encadrées. L'envoi d'une newsletter ou d'un emailing commercial est possible sans consentement préalable si trois conditions cumulatives sont réunies :

  • Le message est en lien direct avec l'activité professionnelle du destinataire ;
  • L'adresse email utilisée est une adresse professionnelle générique (contact@entreprise.fr) et non une adresse nominative ;
  • Chaque envoi contient une option de désinscription simple et gratuite.

Attention : si vous utilisez une adresse nominative (prenom.nom@entreprise.fr), le RGPD s'applique pleinement - cette adresse constitue une donnée personnelle. Dans ce cas, vous devez vous appuyer sur l'intérêt légitime documenté ou recueillir un consentement. Pour aller plus loin sur les règles du cold email et RGPD en B2B, consultez notre guide dédié à la cold email et RGPD en B2B.

Cas d'usage : Exemple de newsletter conforme

Supposons que vous envoyiez une newsletter mensuelle intitulée "l'actu RGPD". Voici ce que doit contenir votre newsletter :

  • En-tête : logo de votre entreprise + "Vous recevez ce message car vous êtes abonné à nos actualités RGPD" ;
  • Objet : "Actualité RGPD de mars 2024 - Newsletter Leto" ;
  • Contenu : vos actualités ;
  • Pied de page avec :
    • "Vous recevez cet e-mail car vous avez souscrit à notre newsletter RGPD." ;
    • Lien de désinscription : "[Cliquez ici pour vous désinscrire]" ;
    • "Notre politique de confidentialité : [lien]" ;
    • "Responsable de traitement : LETO SARL, 123 Rue de la Paix, 75000 Paris, contact@leto.legal" ;
    • "Durée de conservation : 2 ans après votre dernière interaction" ;
    • "Vos droits : Accéder, rectifier, supprimer ou vous opposer au traitement de vos données en écrivant à dpo@leto.legal" .

FAQ : Newsletters et conformité RGPD

Quelle base légale utiliser pour envoyer une newsletter ?

Deux bases légales sont possibles : le consentement (article 6.1.a du RGPD), qui est la plus courante et exige un opt-in explicite, et l'intérêt légitime (article 6.1.f), réservé aux clients existants dans un contexte commercial analogue. Dans les deux cas, un lien de désinscription visible doit figurer dans chaque envoi.

Une case pré-cochée est-elle valide pour recueillir le consentement RGPD ?

Non. Une case pré-cochée (opt-out par défaut) ne constitue pas un consentement valide au titre du RGPD. Le consentement doit être actif : l'utilisateur doit cocher lui-même la case pour s'inscrire à la newsletter (opt-in). L'absence d'action ne vaut pas consentement.

Quelles mentions légales sont obligatoires dans une newsletter RGPD ?

Chaque newsletter doit mentionner : l'identité et les coordonnées du responsable de traitement, la durée de conservation des adresses email, les droits des destinataires (accès, rectification, effacement, opposition), l'origine des données et un lien vers la politique de confidentialité complète. L'identité du DPO doit également figurer si applicable.

Combien de temps peut-on conserver les adresses email des abonnés ?

Les adresses des abonnés actifs peuvent être conservées tant qu'ils restent inscrits. Après désinscription, l'adresse doit être placée en liste d'opposition pendant au minimum 3 ans pour prévenir tout recontact accidentel. Pour les adresses inactives (sans ouverture ni clic), il est recommandé de les supprimer après 6 à 12 mois.

Comment prouver le consentement d'un abonné à une newsletter ?

L'enregistrement du consentement doit comprendre : la date et l'heure du consentement, l'identité de la personne, la nature du consentement (inscription newsletter), le moyen utilisé (formulaire, email) et une preuve (copie du formulaire, email de confirmation). Les outils d'email marketing comme Mailchimp, Brevo ou HubSpot conservent généralement cette trace automatiquement.

Qu'est-ce que le double opt-in et pourquoi le recommander ?

Le double opt-in est une pratique par laquelle l'utilisateur reçoit un email de confirmation après son inscription et doit cliquer sur un lien pour valider son abonnement. Cette étape supplémentaire renforce la preuve du consentement, améliore la qualité de la liste et réduit les risques de spam.

Quels sont les éléments interdits dans une newsletter conforme RGPD ?

Sont interdits : un objet d'email trompeur ou sans rapport avec le contenu, un lien de désinscription cassé ou peu visible, l'envoi à des adresses sans consentement préalable, une case pré-cochée lors de l'inscription, l'absence de lien vers la politique de confidentialité, et tout renvoi vers un formulaire complexe lors de la désinscription.


👉 Retrouvez des modèles de newsletters conformes au RGPD sur notre plateforme Leto. Nous vous aidons à automatiser votre conformité RGPD pour vos newsletters et campagnes marketing.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Questionnaire RSE : comment répondre ?
3/10/2024
Comment faciliter l'exercice des droits dans le RGPD ?
26/7/2023
Non conformité au RGPD et concurrence déloyale
18/4/2023
Les 8 piliers de la loi Sapin 2 : obligations et mise en oeuvre
13/5/2026
6 astuces pour répondre efficacement aux questionnaires de sécurité
8/10/2024
Anonymisation des données RGPD : guide complet 2026
21/3/2023

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026