Le double opt-in est-il obligatoire pour être conforme au RGPD ?

Le double opt-in n'est pas légalement obligatoire selon le texte du RGPD, mais il est fortement recommandé car il constitue la preuve de consentement la plus solide. En cas de litige ou de contrôle CNIL, pouvoir prouver que l'abonné a cliqué sur un lien de confirmation est un avantage considérable. Sans double opt-in, vous devez conserver d'autres preuves de consentement (logs, screenshots du formulaire, horodatage).

Puis-je envoyer des emails commerciaux à mes clients existants sans leur accord ?

Oui, sous conditions. La directive ePrivacy (transposée en droit français) autorise l'envoi d'emails commerciaux à des clients existants pour des produits ou services similaires à ceux déjà achetés. Cette exception s'appelle la « relation commerciale établie ». Vous devez toutefois avoir proposé lors de l'achat la possibilité de refuser ces communications, et inclure un lien de désinscription dans chaque email.

Combien de temps puis-je conserver les données de mes abonnés inactifs ?

La CNIL recommande de ne pas conserver les données de contacts inactifs au-delà de 3 ans. Un contact est considéré inactif s'il n'a pas ouvert vos emails ni interagi avec votre site pendant cette période. Passé ce délai, vous devez soit relancer le contact pour recueillir un nouveau consentement, soit supprimer ses données de votre base.

Quels outils emailing sont les plus conformes au RGPD ?

Brevo (ex-Sendinblue) et Sarbacane sont les outils les plus conformes au RGPD car ce sont des entreprises françaises dont les serveurs sont hébergés en France. MailerLite héberge ses données en Lituanie (UE). Ces trois outils proposent la gestion des consentements, le double opt-in natif, la suppression des données sur demande et des contrats de sous-traitance (DPA) conformes au RGPD.

RGPD et emailing : guide complet de conformité

Consentement, double opt-in, droit à l'oubli, sanctions CNIL — tout ce qu'il faut savoir pour envoyer des emails en conformité avec le règlement européen.

Les obligations RGPD pour l'emailing

Consentement explicite et préalable

Le RGPD exige que le consentement soit libre, spécifique, éclairé et univoque. En pratique, cela signifie une case à cocher non pré-cochée sur votre formulaire d'inscription, accompagnée d'une mention claire sur la nature des emails envoyés. Un simple intérêt légitime ne suffit pas pour l'email marketing B2C.

Droit à l'oubli et portabilité des données

Tout abonné peut demander à tout moment la suppression de toutes ses données personnelles (droit à l'oubli) ou leur export dans un format lisible (portabilité). Vous disposez d'un mois pour traiter ces demandes. Votre outil d'emailing doit permettre une suppression complète et irréversible de l'historique du contact.

Registre des consentements

Vous êtes tenu de tenir un registre des traitements et de conserver la preuve de chaque consentement : date, heure, source, texte exact du formulaire au moment de l'inscription. Ce registre doit être accessible en cas de contrôle de la CNIL. Les outils modernes comme Brevo, MailerLite ou ActiveCampaign journalisent automatiquement ces informations.

Les outils emailing conformes RGPD

Ces outils proposent nativement la gestion des consentements, le double opt-in, la suppression des données et un contrat de sous-traitance (DPA) conforme au RGPD.

Brevo

France · 4.4/5

Conforme RGPD

Mailchimp

États-Unis · 4.2/5

Conforme RGPD

MailerLite

Lituanie · 4.5/5

Conforme RGPD

GetResponse

Pologne · 4.3/5

Conforme RGPD

Systeme.io

France · 4.4/5

Conforme RGPD

Kit (ConvertKit)

États-Unis · 4.3/5

Conforme RGPD

ActiveCampaign

États-Unis · 4.5/5

Conforme RGPD

Sarbacane

France · 4.1/5

Conforme RGPD

Mailjet

France · 4/5

Conforme RGPD

Klaviyo

États-Unis · 4.4/5

Conforme RGPD

Omnisend

Lituanie · 4.2/5

Conforme RGPD

AWeber

États-Unis · 3.9/5

Conforme RGPD

Benchmark Email

États-Unis · 3.8/5

Conforme RGPD

Moosend

Royaume-Uni · 4.3/5

Conforme RGPD

Les bonnes pratiques

1
Mettre en place le double opt-in
Le double opt-in envoie un email de confirmation après l'inscription. Le contact ne rejoint votre liste qu'après avoir cliqué sur le lien de confirmation. Cette pratique constitue une preuve de consentement solide et réduit les faux emails, améliorant ainsi la délivrabilité.
2
Inclure un lien de désinscription dans chaque email
Chaque email commercial doit contenir un lien de désinscription visible et fonctionnel. La désinscription doit être effective dans un délai maximal de 10 jours selon la CNIL. Utilisez un lien en texte clair et non un bouton difficile à trouver.
3
Conserver les preuves de consentement
Votre outil d'emailing doit enregistrer la date, l'heure, l'adresse IP et la source de chaque consentement. En cas de contrôle CNIL, vous devez être capable de prouver que chaque contact a bien consenti à recevoir vos emails. MailerLite, Brevo et ActiveCampaign conservent ces données automatiquement.
4
Mentionner clairement la finalité lors de l'inscription
Le formulaire d'inscription doit indiquer explicitement ce que recevra l'abonné (newsletter hebdomadaire, offres promotionnelles, etc.) et la fréquence d'envoi prévue. Un consentement obtenu pour une newsletter ne couvre pas l'envoi d'offres commerciales non annoncées.
5
Respecter le droit à l'oubli
Tout contact peut demander la suppression de ses données. Vous disposez d'un mois pour y répondre. Cela inclut la suppression de l'adresse email, de l'historique des clics et de toute donnée personnelle associée. Vérifiez que votre outil permet une suppression complète et traçable.
6
Héberger les données en Europe
Le RGPD impose des restrictions strictes sur les transferts de données hors UE. Privilégiez des outils dont les serveurs sont hébergés en Europe : Brevo (France), Sarbacane (France) et MailerLite (Lituanie) répondent à cette exigence. Pour les outils américains (Mailchimp), vérifiez les clauses contractuelles types (CCT).

Les sanctions encourues

Amende administrative

La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel pour les violations les plus graves — le montant le plus élevé étant retenu.

Avertissement et mise en demeure

Pour les infractions moins graves ou les primo-contrevenants, la CNIL commence souvent par un avertissement formel ou une mise en demeure de se mettre en conformité dans un délai imparti.

Exemples concrets

En France, plusieurs entreprises ont été sanctionnées pour prospection sans consentement : une amende de 600 000 € pour envoi d'emails sans opt-in (2022), 150 000 € pour absence de lien de désinscription fonctionnel, et 75 000 € pour conservation excessive des données.

Source : CNIL.fr

Questions fréquentes

Le double opt-in est-il obligatoire pour être conforme au RGPD ?: Le double opt-in n'est pas légalement obligatoire selon le texte du RGPD, mais il est fortement recommandé car il constitue la preuve de consentement la plus solide. En cas de litige ou de contrôle CNIL, pouvoir prouver que l'abonné a cliqué sur un lien de confirmation est un avantage considérable. Sans double opt-in, vous devez conserver d'autres preuves de consentement (logs, screenshots du formulaire, horodatage).
Puis-je envoyer des emails commerciaux à mes clients existants sans leur accord ?: Oui, sous conditions. La directive ePrivacy (transposée en droit français) autorise l'envoi d'emails commerciaux à des clients existants pour des produits ou services similaires à ceux déjà achetés. Cette exception s'appelle la « relation commerciale établie ». Vous devez toutefois avoir proposé lors de l'achat la possibilité de refuser ces communications, et inclure un lien de désinscription dans chaque email.
Combien de temps puis-je conserver les données de mes abonnés inactifs ?: La CNIL recommande de ne pas conserver les données de contacts inactifs au-delà de 3 ans. Un contact est considéré inactif s'il n'a pas ouvert vos emails ni interagi avec votre site pendant cette période. Passé ce délai, vous devez soit relancer le contact pour recueillir un nouveau consentement, soit supprimer ses données de votre base.
Quels outils emailing sont les plus conformes au RGPD ?: Brevo (ex-Sendinblue) et Sarbacane sont les outils les plus conformes au RGPD car ce sont des entreprises françaises dont les serveurs sont hébergés en France. MailerLite héberge ses données en Lituanie (UE). Ces trois outils proposent la gestion des consentements, le double opt-in natif, la suppression des données sur demande et des contrats de sous-traitance (DPA) conformes au RGPD.