Newsletters et RGPD : Comment assurer la conformité de votre emailing

Avant toute chose, c'est quoi un newsletter RGPD conforme ?

Une newsletter conforme au RGPD est une communication emailling périodique (hebdomadaire, mensuelle, trimestrielle, etc.) envoyée à des destinataires qui ont donné leur consentement explicite pour le recevoir. Ce consentement doit être écrit, opt-in ou (dans le contexte commercial existant), enregistré et facilement révocable.

Les éléments clés d'une newsletter conforme au RGPD sont :

• L'existence d'une adresse email valide de l'envoyeur ;
• L'identification claire de l'organisme responsable de l'envoi ;
• L'affichage de l'intitulé "newsletter" ou "email marketing" dans l'objet pour que le destinataire sache ce qu'il reçoit ;
• La présence obligatoire d'un lien de désinscription visible dans chaque envoi ;
• La mention des coordonnées du responsable de traitement ;
• Une durée de conservation limitée des adresses e-mails collectées.

La base légale de votre newsletter : consentement ou intérêt légitime ?

Avant d'envoyer une newsletter, vous devez identifier quelle base légale autorise l'envoi. Le RGPD propose 6 bases légales (listees à l'article 6). Pour une newsletter, deux bases légales sont possibles :

Base 1 : Le consentement (article 6.1.a du RGPD)

Le consentement est la base légale la plus courante en matière d'emailling. Il s'agit de recueillir le consentement explicite de la personne avant d'envoyer une newsletter.

• Consentement opt-in : L'utilisateur doit activer une case à cocher pour s'inscrire à la newsletter. C'est la forme la plus exigeante du consentement.
• Consentement opt-out : L'utilisateur est automatiquement inscrit à la newsletter, mais a la possibilité de se désinscrire. Cette forme n'est pas valide au titre du RGPD pour une newsletter (sauf si client existant avec un service associé).

Le consentement doit être enregistré dans votre registre de traitement et doit êter explicite et libre.

Base 2 : L'intérêt légitime (article 6.1.f du RGPD)

En tant que commerce ou organisation, vous avez l'intérêt légitime d'envoyer une newsletter à vos clients existants. Cette base légale vous permet d'envoyer une newsletter à des clients sans consentement explicite préalable, condition que vous :

• Offriez un droit d'opposition (désinscription) simple et gratuit dans chaque communication ;
• Respectiez les droits et attentes légitimes de vos clients ;
• Vous limitiez uniquement à vos clients existants (pas de prospection froid).

L'intérêt légitime est une base plus souple que le consentement, mais elle ne s'applique que dans certains contextes (clients existants, secteur activité analogue, communication directe limitée).

Tous les éléments d'une newsletter conforme au RGPD

1 - L'adresse e-mail de l'expéditeur

Votre newsletter doit provenir d'une adresse e-mail valide, idéalement un domaine de votre entreprise. Nous recommandons l'utilisation du format contact@votresentreprise.fr ou newsletter@votresentreprise.fr plutôt que noreply@votresentreprise.fr. Évitez tout domaine suspect ou générique ("contact@gmail.com", par exemple).

2 - L'identité de l'expéditeur

L'objet et le pied de page doivent identifier clairement votre organisation :

• Affichage du nom de l'entreprise en en-tête ;
• Affichage des coordonnées complètes (adresse, numéro de téléphone, adresse email) dans le pied de page ;
• Présence du numéro SIRET ou Kbis pour les structures légales obligatoires.

3 - L'objet de la newsletter et la transparence

L'objet de la newsletter doit clairement indiquer qu'il s'agit d'une newsletter. Ne pas utiliser un objet trompeur (ex: "information exclusive", "votre avis nous intresse"). Exemple d'objet conforme :

• "Newsletter Leto - Les actualités RGPD d'avril" ;
• "Votre newsletter mensuelle du 15 avril" ;
• "Mise à jour RGPD - Avril 2025 (Newsletter)".

4 - Le lien de désinscription obligatoire

Chaque newsletter doit inclure un lien de désinscription ("Cliquez ici pour vous désinscrire" ou "Opt-out") visible dans le pied de page. Ce lien doit :

• Etre cliquable en un seul clic ;
• Ne pas exiger de justification ;
• Traiter la désinscription dans un délai de 24-48 heures maximum ;
• Etre fonctionnel à 100% (pas de lien cassé).

5 - Les mentions légales

Votre newsletter doit inclure les mentions légales suivantes :

• L'identité du responsable de traitement (vous-même) ;
• L'adresse complète et email de l'entreprise ;
• La durée de conservation des données e-mail (ex: "2 ans après la dernière interaction") ;
• Les droits RGPD de la personne : accés, rectification, effacement, opposition, limitation, portabilité ;
• L'identité du délégué à la protection des données (DPO), si applicable ;
• L'origine des données de contact ("Vous avez souscrit via notre formulaire" ou "vous êtes un client existant") ;
• Un lien vers la politique de confidentialité complète.

6 - La durée de conservation

Vous devez préciser combien de temps vous conservez les adresses email des abonnés à votre newsletter. Voici les bonnes pratiques :

• Abonnés actifs : conserver aussi longtemps qu'ils restent inscrits ;
• Abonnés désincrit : conserver "liste d'opposition" pendant minimum 3 ans pour éviter tout recontact accidentel ;
• Absence d'ouverture ou clic : supprimer après 6 à 12 mois (optéionnel mais recommandé pour la qualité).

Documentez cette durée dans votre registre de traitement, et assurez-vous qu'une procédure d'effacement automatique est en place dans votre outil email marketing.

Le consentement explicite à la newsletter

Où collecter le consentement ?

Le consentement à la newsletter peut être collecté via :

• Un formulaire d'inscription à la newsletter sur votre site (checkbox opt-in obligatoire) ;
• Un pop-up au chargement d'une page (avec une case à cocher pré-décochée) ;
• Une page de confirmation après un achat (demander explicitement la permission d'envoyer la newsletter) ;
• Une case à cocher dans un formulaire de contact ("Recevez nos actualités").

Attention : une case pré-cochée ("par défaut inscrit") ne constitue pas un consentement valide au titre du RGPD.

Comment enregistrer le consentement ?

Le consentement doit être enregistré dans vos systèmes :

• Date et heure du consentement ;
• Identité de la personne qui a consenti ;
• Nature du consentement ("Inscription newsletter") ;
• Moyen de consentement (formulaire, email, téléphone) ;
• Preuve du consentement (copie du formulaire, screenshot, email de confirmation).

Si vous utilisez un outil d'email marketing (Mailchimp, Brevo, HubSpot, etc.), celui-ci devrait conserver cette trace automatiquement.

Comment envoyer votre newsletter en conformité RGPD

Avant chaque envoi

• Vérifiez que la liste des destinataires est à jour ;
• Retirez les adresses des désinscrit de votre liste de diffusion ;
• Contrôlez que votre newsletter identifie clairement l'expéditeur et le contenu (pas de "subject" trompeur) ;
• Vérifiez la présence d'un lien de désinscription ;
• Testez que le lien de désinscription fonctionne (ne redirige pas vers une page 404).

Traitement des désinscriptions

• Dès qu'un utilisateur clique sur "Désinscrire", arrêtez immédiatement d'envoyer des newsletters à cette adresse ;
• Ajoutez l'adresse à votre liste d'opposition (suppression list) ;
• Vérifiez que aucun autre système (CRM, marketing automation) ne recontactera cette personne ;
• Conservez cette liste pendant au moins 3 ans pour prouver votre conformité en cas d'inspection.

Gestion des bounces (adresses invalides)

• Supprimez automatiquement les adresses qui "rebondissent" (hard bounce) depuis plus de 3 mois ;
• Pour les soft bounces (temporaires), conservez-les dans votre liste mais marquez-les comme "inactives" ;
• Ne répétez pas des envois massifs à des adresses invalides (c'est considéré comme du spam).

Les éléments interdit(s) pour une newsletter conforme au RGPD

• ❌ Subject lénifiant ou trompeur ("Cliquez d'urgence", "Offre limitée", "Réponse demandée") sans rapport avec le contenu ;
• ❌ Lien de désinscription cassé ou peu visible ;
• ❌ Pas d'identité clairement affichée de l'expéditeur ;
• ❌ Envoi à des adresses sans consentement préalable (sauf clients existants avec base légitime documentée) ;
• ❌ Cas pré-cochée au téléchargement (opt-out par défaut) ;
• ❌ Absence de lien vers votre politique de confidentialité ;
• ❌ Aucune mention de la durée de conservation de l'adresse ;
• ❌ Redirection du lien de désinscription vers une page de formulaire "compliquée" ;
• ❌ Envoie de newsletter à une adresse de désinscrit (même par erreur).

Bonnes pratiques pour sa newsletter conforme

• Gardez une trace de chaque envoi : date, nombre de destinataires, objet, taux d'ouverture ;
• Envisagez d'envoyer un double opt-in : l'utilisateur reçoit un lien de confirmation à cliquer pour valider son inscription (redouble le consentement) ;
• Segmentez votre audience : envoyez différents contenus selon le profil de vos abonnés (améliore l'engagement et réduit les désinscriptions) ;
• Nettoyez votre liste tous les 6-12 mois : supprimez les adresses inactives, les rebonds répétés ;
• Vérifiez que votre outil email marketing (Mailchimp, Brevo, HubSpot, Mailpoet) est conforme au RGPD (de plus en plus le cas, mais vérifiez en cas de doute) ;
• Utilisez un sous-traitant de confiance pour vos envois et conservez un contrat de traitement de données (DPA) avec lui ;
• Vérifiez les lois locales : certains pays (ex. : Espagne, Allemagne) ont des réglementations plus strictes que le RGPD pour l'email marketing.

Cas d'usage : Exemple de newsletter conforme

Supposons que vous envoyiez une newsletter mensuelle intitulée "l'actu RGPD". Voici ce que doit contenir votre newsletter :

• En-tête : logo de votre entreprise + "Vous recevez ce message car vous êtes abonné à nos actualités RGPD" ;
• Objet : "Actualité RGPD de mars 2024 - Newsletter Leto" ;
• Contenu : vos actualités ;
• Pied de page avec :
  • "Vous recevez cet e-mail car vous avez souscrit à notre newsletter RGPD." ;
  • Lien de désinscription : "[Cliquez ici pour vous désinscrire]" ;
  • "Notre politique de confidentialité : [lien]" ;
  • "Responsable de traitement : LETO SARL, 123 Rue de la Paix, 75000 Paris, contact@leto.legal" ;
  • "Durée de conservation : 2 ans après votre dernière interaction" ;
  • "Vos droits : Accéder, rectifier, supprimer ou vous opposer au traitement de vos données en écrivant à dpo@leto.legal" .

FAQ : Newsletters et conformité RGPD

Quelle base légale utiliser pour envoyer une newsletter ?

Deux bases légales sont possibles : le consentement (article 6.1.a du RGPD), qui est la plus courante et exige un opt-in explicite, et l'intérêt légitime (article 6.1.f), réservé aux clients existants dans un contexte commercial analogue. Dans les deux cas, un lien de désinscription visible doit figurer dans chaque envoi.

Une case pré-cochée est-elle valide pour recueillir le consentement RGPD ?

Non. Une case pré-cochée (opt-out par défaut) ne constitue pas un consentement valide au titre du RGPD. Le consentement doit être actif : l'utilisateur doit cocher lui-même la case pour s'inscrire à la newsletter (opt-in). L'absence d'action ne vaut pas consentement.

Quelles mentions légales sont obligatoires dans une newsletter RGPD ?

Chaque newsletter doit mentionner : l'identité et les coordonnées du responsable de traitement, la durée de conservation des adresses email, les droits des destinataires (accès, rectification, effacement, opposition), l'origine des données et un lien vers la politique de confidentialité complète. L'identité du DPO doit également figurer si applicable.

Combien de temps peut-on conserver les adresses email des abonnés ?

Les adresses des abonnés actifs peuvent être conservées tant qu'ils restent inscrits. Après désinscription, l'adresse doit être placée en liste d'opposition pendant au minimum 3 ans pour prévenir tout recontact accidentel. Pour les adresses inactives (sans ouverture ni clic), il est recommandé de les supprimer après 6 à 12 mois.

Comment prouver le consentement d'un abonné à une newsletter ?

L'enregistrement du consentement doit comprendre : la date et l'heure du consentement, l'identité de la personne, la nature du consentement (inscription newsletter), le moyen utilisé (formulaire, email) et une preuve (copie du formulaire, email de confirmation). Les outils d'email marketing comme Mailchimp, Brevo ou HubSpot conservent généralement cette trace automatiquement.

Qu'est-ce que le double opt-in et pourquoi le recommander ?

Le double opt-in est une pratique par laquelle l'utilisateur reçoit un email de confirmation après son inscription et doit cliquer sur un lien pour valider son abonnement. Cette étape supplémentaire renforce la preuve du consentement, améliore la qualité de la liste et réduit les risques de spam.

Quels sont les éléments interdits dans une newsletter conforme RGPD ?

Sont interdits : un objet d'email trompeur ou sans rapport avec le contenu, un lien de désinscription cassé ou peu visible, l'envoi à des adresses sans consentement préalable, une case pré-cochée lors de l'inscription, l'absence de lien vers la politique de confidentialité, et tout renvoi vers un formulaire complexe lors de la désinscription.

👉 Retrouvez des modèles de newsletters conformes au RGPD sur notre plateforme Leto. Nous vous aidons à automatiser votre conformité RGPD pour vos newsletters et campagnes marketing.