---
title: Emailing et RGPD : ce que disent réellement la CNIL et les textes
source: https://synapx.fr/blog/emailing-rgpd-cnil-prospection/
date: 2026-07-14
category: Email
site: SynapxLab
---

# Emailing et RGPD : ce que disent réellement la CNIL et les textes

« Conforme RGPD » n'est pas une propriété magique d'un fichier d'adresses. La conformité dépend de la personne visée, de la source de la donnée, du message, de la finalité, de la base juridique, de l'information fournie, de la preuve et du mécanisme d'opposition.

En France, la prospection par courrier électronique se lit principalement à travers deux couches :

1. l'article **L34-5 du Code des postes et des communications électroniques**, qui encadre la prospection directe par voie électronique ;
2. le **RGPD**, qui régit le traitement des données personnelles : base juridique, transparence, minimisation, durée, sécurité, sous-traitants et droits.

Ce billet constitue le volet juridique du [guide de l'e-mailing professionnel en 2026](/blog/emailing-professionnel-2026/).

Ce guide donne une méthode opérationnelle fondée sur les textes et les pages CNIL vérifiés au 14 juillet 2026. Il ne remplace pas l'analyse d'un juriste ou du DPO pour un cas sectoriel, international ou contentieux.

## Le tableau de décision B2C/B2B

| Situation | Règle de départ | Conditions essentielles |
|---|---|---|
| Prospect particulier, sans relation antérieure | Consentement préalable | Acte positif, information, preuve, retrait simple |
| Client particulier, offre analogue de la même entreprise | Exception encadrée possible | Coordonnées recueillies lors de la vente, offre analogue, opposition à la collecte et dans chaque message |
| Professionnel, message lié à sa fonction | Prospection possible sans consentement préalable dans le cadre décrit par la CNIL | Information, pertinence professionnelle, opposition simple et gratuite |
| Professionnel, message sans rapport avec sa fonction | Ne pas appliquer automatiquement l'exception B2B | Analyser comme une prospection B2C selon le cas |
| Adresse générique d'une personne morale, par exemple `contact@` | Situation différente d'une adresse nominative | Identité claire, pertinence et opposition restent de bonnes pratiques ; vérifier le contexte |
| Donnée transmise par un partenaire | Aucun droit automatique d'envoyer | Vérifier information, consentement lorsqu'il est requis, identité des partenaires et preuve transmise |

Le statut « entreprise » dans une base ne suffit pas. `prenom.nom@entreprise.fr` reste une donnée personnelle lorsqu'elle identifie une personne physique. Et une offre de vacances envoyée au responsable informatique n'est pas liée à sa fonction simplement parce qu'elle arrive sur son adresse professionnelle.

## Prospection B2C : consentement avant le message

Pour un particulier prospecté par e-mail, le principe de L34-5 est le consentement préalable. Le RGPD précise les qualités de ce consentement : il doit être libre, spécifique, éclairé et univoque, et résulter d'un acte positif.

Un formulaire défendable présente séparément les finalités :

```text
[ ] Je souhaite recevoir chaque mois la lettre technique de Synapx.
[ ] J'accepte de recevoir les offres commerciales de Synapx.
[ ] J'accepte que mon adresse soit transmise aux partenaires identifiés ici
    pour leurs offres par courrier électronique.
```

Les cases sont décochées par défaut. L'accès au service principal ne doit pas être conditionné à une communication qui n'est pas nécessaire au service. Une acceptation des conditions générales ne vaut pas automatiquement consentement à toutes les prospections.

### L'exception des produits ou services analogues

L34-5 prévoit une exception lorsque l'adresse a été recueillie directement auprès de la personne à l'occasion d'une vente ou d'une prestation, et que la prospection concerne des produits ou services analogues fournis par la même personne physique ou morale.

Cette exception exige que le client ait pu s'opposer simplement et gratuitement :

- au moment de la collecte ;
- dans chaque message ultérieur.

« Analogue » doit être apprécié sérieusement. L'achat d'un hébergement ne justifie pas toutes les offres d'un groupe sans limite. Documentez les familles de produits considérées analogues et faites valider les cas ambigus.

## Prospection B2B : la fonction fixe la frontière

La CNIL indique qu'une adresse professionnelle collectée, par exemple lors d'un événement, peut être utilisée pour une newsletter lorsque :

- la personne a été informée de cette utilisation et a pu s'y opposer simplement et gratuitement ;
- l'objet de la sollicitation est en rapport avec sa profession.

Chaque message doit préciser l'identité de l'annonceur, fournir un moyen simple de s'opposer et, selon la recommandation CNIL citée, inclure un lien vers la politique de confidentialité.

Exemples :

| Destinataire | Message | Analyse probable |
|---|---|---|
| DPO d'une entreprise | Formation sur les registres RGPD | Rapport professionnel identifiable |
| Responsable infrastructure | Audit DNS et messagerie | Rapport professionnel identifiable |
| Même responsable infrastructure | Promotion de séjours de vacances | Aucun rapport évident avec sa fonction |
| Adresse nominative trouvée sur un réseau social | Newsletter générale non annoncée | Publication publique insuffisante à elle seule |

La règle B2B n'autorise ni le harcèlement, ni les objets trompeurs, ni la revente incontrôlée. Le droit d'opposition à la prospection est absolu au titre de l'article 21 du RGPD lorsqu'il est exercé.

## Acheter, louer ou recevoir une base partenaire

Une base transmise reste un traitement dont l'expéditeur est responsable. Les questions minimales sont :

1. qui a collecté l'adresse ?
2. quand et sur quel support ?
3. quelle information exacte a été présentée ?
4. pour quelles finalités et quels partenaires ?
5. quelle preuve est fournie ligne par ligne ?
6. comment les retraits et oppositions seront-ils synchronisés ?

La CNIL a actualisé le 10 juin 2026 ses explications sur la transmission B2C. Lorsque la prospection électronique du partenaire requiert le consentement, l'organisme qui transmet doit obtenir le consentement pour la transmission et, lorsqu'il le recueille aussi pour les opérations des partenaires, rendre accessible une liste exhaustive et à jour de leur identité.

Une case peut couvrir transmission et prospection pour les partenaires clairement identifiés, mais le consentement ne se transmet pas en cascade : un partenaire ne peut pas le céder à ses propres partenaires sans recueillir un nouvel accord conforme.

Lorsqu'un destinataire reçoit pour la première fois des données obtenues indirectement, les obligations d'information de l'article 14 du RGPD s'appliquent : source, finalité, base juridique, destinataires, durée, droits et coordonnées pertinentes doivent être communiqués au plus tard dans le délai prévu par le texte et, en pratique de prospection, au premier contact si celui-ci intervient avant.

## Scraping : une adresse visible n'est pas une autorisation

La CNIL rappelle que les données publiquement accessibles en ligne ne sont pas librement réutilisables à des fins de démarchage. L'organisation doit tenir compte :

- du contexte et de la finalité de publication ;
- des attentes raisonnables de la personne ;
- des restrictions ou oppositions exprimées ;
- de la base juridique de la nouvelle utilisation ;
- de l'information lorsque la collecte est indirecte ;
- des règles particulières de prospection électronique.

Extraire une adresse depuis un registre professionnel pour envoyer une alerte directement liée à la fonction n'a pas la même analyse qu'aspirer tous les profils d'un réseau social pour une newsletter généraliste. Dans les deux cas, il faut documenter la décision au lieu de se fier au seul caractère public.

## Les mentions à fournir

L'information complète dépend du traitement, mais le dispositif doit permettre de trouver clairement :

- l'identité et les coordonnées du responsable de traitement ;
- les finalités et bases juridiques ;
- les catégories de données ;
- les destinataires ou catégories de destinataires ;
- les transferts hors Espace économique européen et garanties applicables, le cas échéant ;
- la durée ou les critères de durée ;
- les droits et la façon de les exercer ;
- le droit d'introduire une réclamation auprès de la CNIL ;
- la source des données lorsqu'elles n'ont pas été collectées auprès de la personne ;
- l'existence d'un profilage ou d'une décision automatisée lorsque les conditions du RGPD l'exigent.

Dans le message lui-même, le destinataire doit immédiatement reconnaître l'annonceur, la nature commerciale du message et le moyen de se retirer. L34-5 interdit de dissimuler l'identité pour le compte de laquelle la communication est émise et d'utiliser un objet sans rapport avec la prestation ou le service proposé.

## Le désabonnement doit réellement arrêter le flux

```mermaid
sequenceDiagram
    participant P as Personne
    participant L as Lien de retrait
    participant C as Référentiel central
    participant E as Outil d'envoi
    participant I as Futur import
    P->>L: demande le désabonnement
    L->>C: enregistre finalité, date et portée
    C->>E: bloque les prochains envois marketing
    I->>C: propose une ancienne adresse
    C-->>I: refuse la réactivation
    E-->>P: confirmation sans reconnexion obligatoire
```

Les pannes fréquentes sont organisationnelles : le lien retire seulement d'une campagne, un second outil continue à envoyer, un commercial réimporte l'adresse ou la suppression n'est appliquée qu'une fois par nuit.

Pour les expéditeurs marketing en volume, le mécanisme `List-Unsubscribe` en un clic demandé par de grands fournisseurs complète le lien visible. Il ne réduit aucun droit : l'opposition doit rester simple, gratuite et effective.

## Durées de conservation : trois ans n'est pas un mot de passe universel

Le référentiel commercial de la CNIL propose :

- données de **clients** utilisées pour prospecter : pendant la relation, puis trois ans après sa fin ;
- données de **prospects** : trois ans après la collecte ou le dernier contact venant du prospect ;
- informations nécessaires à la **liste d'opposition** : au minimum trois ans, uniquement pour gérer l'opposition.

Un clic peut constituer un contact venant du prospect. Une simple ouverture technique ne doit pas être transformée mécaniquement en prolongation, d'autant que les pixels peuvent être préchargés et que leur usage est juridiquement encadré.

Ces durées sont des références, pas une dispense d'analyse. La CNIL indique qu'un organisme peut s'en écarter s'il justifie sa propre durée. Des obligations comptables ou une prescription peuvent imposer un archivage intermédiaire distinct, sans autoriser une nouvelle prospection.

## Le journal de consentement et d'opposition

Conservez une preuve liée à la finalité, pas une capture générique du site actuel :

| Champ | Exemple |
|---|---|
| Contact | Identifiant interne stable |
| Finalité | `newsletter_technique` |
| Action | `consent_granted`, `consent_withdrawn`, `objected` |
| Horodatage | `2026-07-14T10:18:42+02:00` |
| Source | `formulaire_blog_v3` |
| Texte/version | `privacy_notice_2026-04-18` |
| Mécanisme | case active + confirmation e-mail |
| Périmètre | Synapx uniquement, pas les partenaires |
| Preuve technique | identifiant du message de confirmation |

Le retrait ne doit pas écraser la preuve de l'ancien accord : il ajoute un événement plus récent qui interdit la poursuite. Les droits d'accès au journal et à la liste repoussoir doivent être limités.

## Pixels de suivi : un consentement distinct selon la finalité

Depuis la recommandation finale CNIL d'avril 2026, activer un pixel dans chaque campagne « parce que tout le monde le fait » n'est plus défendable. L'optimisation marketing individualisée, le profilage et plusieurs autres finalités nécessitent un consentement au traceur.

La CNIL admet aussi des exemptions strictes pour certains usages, notamment une mesure de délivrabilité limitée au nécessaire dans des courriels demandés ou rattachés à un service demandé. Ces données exemptées ne peuvent pas être réutilisées silencieusement pour personnaliser la publicité.

Le détail technique et les limites Apple, Gmail, Outlook et Thunderbird sont expliqués dans [Les pixels de tracking e-mail sont-ils morts ?](/blog/pixels-tracking-email-ouvertures/).

## Audit en dix preuves

- [ ] Chaque campagne a une finalité et une population définies.
- [ ] La règle B2C, B2B ou client analogue est documentée ligne par ligne ou par cohorte démontrable.
- [ ] Le texte présenté lors de la collecte est versionné.
- [ ] Les cases de consentement sont spécifiques et décochées par défaut.
- [ ] Les données indirectes comportent leur source et le plan d'information de l'article 14.
- [ ] Les partenaires sont identifiables et le consentement n'est pas transmis en cascade.
- [ ] Chaque message identifie l'annonceur et propose une opposition immédiate.
- [ ] La liste repoussoir bloque tous les outils et tous les imports concernés.
- [ ] Les durées sont automatisées, avec archivage intermédiaire séparé lorsqu'il est justifié.
- [ ] Les pixels, clics et profils ont leurs propres finalités, bases, durées et choix.

La meilleure conformité est visible dans l'architecture : la campagne ne peut pas partir si la preuve manque, et une opposition devient une contrainte technique durable plutôt qu'une note dans un tableur.
