Prospection par email et SMS : la CNIL reprécise la frontière entre opt-in et opt-out

14/6/26
👈 les autres actualités

La CNIL a remis à jour sa fiche de référence sur les communications commerciales par voie électronique. Derrière un sujet en apparence balisé — l'email et le SMS de prospection — se cache l'une des erreurs de conformité les plus fréquentes : confondre le régime du consentement préalable (opt-in) avec celui du simple droit d'opposition (opt-out). La distinction n'est pas cosmétique. Elle conditionne la légalité de chaque message envoyé.

Ce que rappelle la CNIL

Le principe de base reste l'opt-in : avant d'adresser un message commercial par email, SMS ou automate d'appel à une personne, l'entreprise doit avoir recueilli son consentement préalable, libre, spécifique et éclairé. Cette règle découle de la directive ePrivacy, transposée en France à l'article L. 34-5 du Code des postes et des communications électroniques, et s'articule avec les exigences du RGPD sur la qualité du consentement.

La CNIL rappelle toutefois deux tempéraments. Le premier concerne les clients existants : une entreprise peut prospecter par voie électronique une personne dont elle a déjà recueilli les coordonnées à l'occasion d'une vente, à condition que la sollicitation porte sur des produits ou services analogues et que la personne ait été informée, au moment de la collecte, de la possibilité de s'opposer simplement et gratuitement. Le second concerne la prospection BtoB : l'envoi à une adresse professionnelle générique ou nominative peut, dans certaines conditions, reposer sur l'intérêt légitime plutôt que sur le consentement, dès lors que l'objet du message est en rapport avec la fonction professionnelle du destinataire.

Pourquoi ces règles structurent toute la prospection

La frontière opt-in / opt-out est précisément l'endroit où se jouent la majorité des plaintes adressées à la CNIL en matière de marketing. Un consentement mal recueilli, c'est une base de contacts entière qui devient inexploitable — et un risque de sanction qui ne dépend pas du nombre de messages envoyés mais de la qualité juridique de la collecte. C'est pourquoi la mécanique de l'opt-in et ses meilleures pratiques mérite d'être maîtrisée avant toute campagne, et non corrigée après coup.

Les règles diffèrent aussi selon la cible. En prospection BtoC, le consentement préalable est la norme quasi systématique pour le premier contact. En prospection BtoB, l'intérêt légitime ouvre une marge — souvent surestimée par les équipes commerciales, qui croient à tort que « le professionnel » échappe au cadre. Dans les deux cas, la logique d'ensemble reste celle posée par le RGPD appliqué à la prospection commerciale : minimisation des données collectées, transparence sur les finalités, durée de conservation limitée et facilité d'exercice des droits.

Ce que ça change pour les organisations

Concrètement, trois vérifications s'imposent. D'abord, auditer les bases de contacts : pour chaque adresse, l'entreprise doit pouvoir documenter l'origine du consentement (date, support, libellé exact de la case cochée) ou la base légale invoquée. Un fichier acheté ou agrégé sans traçabilité du consentement initial est, dans la plupart des cas, inutilisable en BtoC.

Ensuite, vérifier que chaque message comporte un mécanisme de désinscription clair, immédiat et gratuit — un lien fonctionnel, pas une simple mention. Enfin, formaliser ces règles dans une procédure interne et tracer les preuves, car la charge de la preuve du consentement pèse sur le responsable de traitement. Pour les communications récurrentes, la conformité d'une newsletter au RGPD repose sur exactement ces mêmes fondations : consentement enregistré, révocable, et un libellé d'inscription qui ne mélange pas plusieurs finalités.

Ce que Leto pense de cette mise au point

Cette piqûre de rappel de la CNIL n'apporte rien de juridiquement nouveau, et c'est précisément ce qui la rend utile. Les règles existent depuis des années ; ce sont les pratiques qui dérivent. Trop d'entreprises traitent encore le consentement comme une formalité de bas de formulaire, alors qu'il est le seul actif qui rend une base marketing exploitable dans la durée. Notre conseil : ne pas raisonner campagne par campagne, mais sécuriser la collecte en amont. Un opt-in propre coûte quelques points de taux d'inscription ; un opt-in défaillant coûte la base entière le jour d'un contrôle.

Sources : CNIL — Communications par voie électronique aux prospects et clients : quelles règles respecter ?

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026