Avant tout envoi, vérifiez que votre base respecte les règles applicables en France.
Cet article décrit obligations pratiques liées à la CNIL et au RGPD.
A retenir :
- Consentement explicite opt-in enregistré, preuve conservée pour chaque contact
- Transparence sur finalités et mentions légales accessibles depuis le formulaire
- Lien de désinscription visible et fonctionnel sur chaque newsletter envoyée
- Sécurité des données renforcée, accès limité, conservation limitée aux besoins
Règles CNIL pour la collecte et le consentement à la newsletter
Partant des éléments essentiels énoncés ci-dessus, la collecte doit être strictement limitée.
Le consentement doit être libre, spécifique, éclairé et traçable pour chaque abonné.
Collecte et finalités :
- Adresse email, prénom, fonction si nécessaire
- But précis: newsletter ou prospection ciblée
- Lien direct vers la politique de confidentialité
- Case à cocher non pré-cochée, action positive requise
Critère
B2C
B2B
Consentement
Obligatoire avant tout envoi
Souple si adresse professionnelle pertinente
Exception clientèle
Possible si achat préalable similaire
Non requise si intérêt légitime établi
Objet du message
Marketing direct uniquement avec opt-in
Doit être lié à l’activité professionnelle
Désinscription
Lien visible et fonctionnel obligatoire
Lien visible et simple d’accès
Conservation
Durée limitée, justificatif nécessaire
Durée liée à l’intérêt légitime ou consentement
Consentement explicite et opt-in requis pour particuliers
Ce point détaille l’exigence du consentement pour les envois aux particuliers.
Selon la CNIL, le consentement doit résulter d’une action claire comme une case non cochée.
Par exemple, la demande de téléchargement d’un livre blanc ne vaut pas consentement marketing.
« J’ai perdu un client après un envoi non conforme, j’ai corrigé immédiatement le formulaire d’inscription. »
Alice B.
Formulaires, mentions légales et transparence
Cette partie précise les mentions à afficher au moment de l’inscription.
Il faut indiquer l’identité de l’éditeur, finalités, durée de conservation et droits.
Selon la CNIL, la mention légale doit être facilement accessible depuis le formulaire.
« En réécrivant nos mentions, nous avons réduit les plaintes et restauré la confiance client. »
Marc L.
Je sais que ces choix peuvent sembler techniques, mais ils protègent votre réputation.
Ces règles de collecte influent directement sur la gestion et la sécurité des bases de contacts.
Sécuriser la base et droits des personnes pour une newsletter conforme
Poursuivant la logique précédente, la sécurité des données devient prioritaire pour tout envoi.
La sécurité des données et le droit à l’oubli doivent être opérationnels et documentés.
Gestion et sécurité :
- Accès restreint aux équipes concernées
- Chiffrement en transit et au repos
- Journalisation des accès et incidents
- Plan de réponse en cas de fuite et notification
Durée de conservation et suppression selon RGPD
Ce point détaille combien de temps garder une adresse et quand l’effacer.
La pratique recommandée mentionne par exemple trois ans après dernier contact pour un contact actif.
Selon la CNIL, cette durée peut varier selon la finalité et les preuves de consentement.
« Notre service a supprimé une base achetée après contrôle, décision favorable pour la conformité. »
Elise P.
Bonnes pratiques de purge et conservation
Cette sous-partie propose des règles opérationnelles pour limiter les risques liés aux bases.
Parmi elles, la suppression des inactifs et la traçabilité des consentements sont centrales.
Selon la CNIL, documenter les preuves de consentement facilite les réponses aux demandes.
Type de données
Recommandation
Adresse email active
Conserver jusqu’à trois ans après dernier contact
Contact inactif
Supprimer après processus d’inactivité documenté
Consentements
Conserver preuve tant que base utilisée
Logs anonymes
Conserver pour analyse limitée, anonymisation recommandée
Je comprends que ces sujets semblent techniques, leur maîtrise protège la relation client.
Ces mesures techniques et organisationnelles déterminent aussi la conformité des choix de prestataires.
Sous-traitants, outils d’emailing et obligations contractuelles CNIL
À l’issue des décisions techniques, le choix des prestataires impose des obligations contractuelles strictes.
Le recours à des solutions d’envoi fait du fournisseur un sous-traitant selon le RGPD.
Sous-traitance et DPA :
- Contrat DPA signé précisant responsabilités et mesures de sécurité
- Clauses sur durée, réversibilité et suppression des données
- Garanties techniques et audits périodiques exigés
- Assistance en cas d’incident et notification aux concernés
Outils analytiques et respect de la vie privée
Ce point aborde l’usage des statistiques et le respect de la vie privée des abonnés.
Si les données d’ouverture ne sont pas anonymes, elles constituent un traitement soumis au RGPD.
Selon la CNIL, informer et limiter la conservation des analytics reste essentiel pour la conformité.
« À mon avis, la transparence sur l’usage des statistiques augmente la confiance des abonnés. »
Pauline M.
Gestion des droits : accès, rectification et droit à l’oubli
Cette sous-partie explique comment répondre aux demandes d’exercice des droits efficacement.
Le droit à l’oubli impose de pouvoir effacer des données et documenter l’opération.
Selon la CNIL, tenir un registre des demandes facilite la réponse et la preuve de conformité.
Source : CNIL, « Décision Sanction FORIOU », CNIL, janvier 2024.
