RGPD : comment créer des campagnes emailing conformes et performantes

juillet 9, 2025

Rappelons-le, le RGPD (Règlement Général sur la Protection des Données) concerne toutes les entreprises traitant des données personnelles de citoyens européens. Un baromètre réalisé par La Chaire Économie Numérique de l’Université Paris-Dauphine avec Médiamétrie en avril 2019 auprès de plus de 1000 Français montre d’ailleurs que 91 % de nos concitoyens sont préoccupés par la protection de leurs données personnelles.

Les pénalités financières en cas de non-conformité peuvent aller jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros. De nombreuses entreprises se sont déjà vues infliger des amendes importantes pour manquement à la sécurité des données utilisateurs. Mais au-delà des répercussions financières, la non-conformité au RGPD peut avoir de fortes conséquences sur la réputation d’une marque.

Entré en application le 25 mai 2018, le RGPD est un texte commun à l’ensemble de l’Union européenne, visant à harmoniser et sécuriser le traitement des données à caractère personnel des internautes.

Cette loi informatique revêt une grande importance dans le cadre de campagnes d’emailing, raison pour laquelle il est primordial que votre entreprise soit en conformité au RGPD et adopte les bons réflexes pour se conformer au règlement européen. Obligations légales, politique de confidentialité, consentement préalable, lien de désabonnement… Dans cet article, on vous dit tout ce que vous devez savoir pour la mise en place d’un mailing RPGD compatible et performant !

Entrée en vigueur le 24 mai 2016, mais lancée en application le 25 mai 2018, le RGPD (règlement général sur la protection des données) complète la loi informatique et libertés datant de 1978. Cette mise à jour se concentre notamment sur le respect de la vie privée des internautes et la protection des données personnelles (identité, numéro de téléphone, adresse postale, adresse mail…).

Largement affilié à de la prospection commerciale et à du suivi de relation client, l’emailing – considéré comme du marketing direct – est donc logiquement assujetti au respect du RGPD. En effet, les entreprises qui utilisent cette stratégie marketing disposent d’informations personnelles parfois sensibles dans leurs listes de diffusion. Il est donc de leur devoir d’assurer une forme stricte de data protection, en respectant l’ensemble des critères de collecte, d’utilisation et de mise en conformité exigés par la réglementation européenne.

La raison principale est très simple : il s’agit ni plus ni moins que d’une obligation légale ! Toutefois, il est à noter que respecter le RGPD a une influence positive sur votre image de marque. Les entreprises qui font preuve de transparence et témoignent du respect des données personnelles de leur base de clients attirent naturellement la sympathie et la confiance du public.

Le non-respect du RGPD peut gravement nuire à votre entreprise, tant que le plan financier que sur votre image de marque. Et mieux vaut montrer patte blanche quand on sait la vitesse à laquelle les réputations se font et se défont sur Internet !

Pour éviter les abus, la Cnil (Comission nationale de l’informatique et des libertés) dispose de différents moyens. Ces sanctions graduelles peuvent prendre plusieurs formes comme : 

• un simple avertissement ;
• une mise en demeure de l’entreprise ;
• une suspension temporaire des traitements ou des flux de données.

Dans la mesure où la mise en conformité suite à ces premiers rappels n’est pas effectuée, la responsabilité pénale de la société peut être engagée, entrainant des amendes au montant très dissuasif. On parle par exemple de sanctions administratives pouvant aller jusqu’à 20 millions d’euros ou 2 % du chiffre d’affaires annuel, mais également de sanctions pénales, pouvant entraîner des amendes de 300 000 € et une peine d’emprisonnement de 5 ans.

C’est la base de toute campagne emailing RPGD friendly. Pour pouvoir envoyer un message de prospection commerciale, vous devez impérativement obtenir le consentement explicite de la personne en amont. Généralement, cela passe par une case à cocher sur un formulaire d’inscription ou un formulaire de contact, attestant de l’autorisation de la personne.

Bon à savoir : il existe 3 formes d’exception, ne nécessitant pas le consentement de la personne :  le prospect est déjà client de l’entreprise et la prospection concerne des produits ou services similaires, proposés par la même société ;le courrier électronique est adressé à un prospect  professionnel (B2B) dont l’adresse est de type générique (contact@… / info@…). De plus, l’objet du courriel est directement en lien avec l’activité du prospect ;le démarchage n’est pas de nature commerciale (demande de participation à une oeuvre caritative par exemple)

En cas de contrôle, les données récoltées et stockées par l’entreprise doivent pouvoir être justifiées. Autrement dit, cette data doit avoir un intérêt réel. 

Sur son site internet, la Cnil mentionne expréssement que « toute information ou communication relative au traitement de données à caractère personnel soit concise, transparente, compréhensible et aisément accessible en des termes simples et clairs ».

Là encore, la Cnil mentionne sur son site web les règles de base pour assurer la sécurité des données personnelles récoltées et éviter leur divulgation à un tiers. La Commission met à votre disposition plusieurs guides complets pour la mise en œuvre et le suivi d’une bonne hygiène informatique.

Vous devez obligatoirement informer les abonnés à votre liste de diffusion de leurs droits au titre du RGPD en matière de désinscription. Le RGPD impose la mention d’une information transparente, claire et lisible, permettant aux personnes concernées de se désabonner sans condition.

Il existe globalement 3 manières différentes en matière de gestion du consentement d’un usager : 

• l’opt-out, qui consiste au précochage de cases d’agrément (une technique très critiquée et peu appréciée des utilisateurs qui peuvent se sentir floués) ;
• l’opt-in, qui vise à obtenir clairement l’accorde de l’usager lors du remplissage du formulaire de contact ;
• le double opt-in, modèle qui ajoute un degré de consentement supplémentaire, puisqu’il va proposer à l’internaute de confirmer son abonnement en cliquant sur un lien envoyé dans sa boîte de réception.

Aujourd’hui, le double opt-in, bien qu’étant une procédure plus contraignante, est saluée comme la meilleure mesure pour protéger l’internaute et confirmer son désir d’inscription.

Pour vous aider à mieux visualiser les règles à mettre en place, vous trouverez ci-après un exemple de conformation d’inscription dans le cadre d’une newsletter RGPD compatible :

Vous aimerez également notre article « Comment mettre en place un formulaire d’inscription double opt-in via l’API de Mailjet ».

Il est très important de noter que le RGPD s’applique à l’ensemble de vos données, et pas uniquement à celles collectées après l’entrée en application du texte au 25 mai 2018. Vous devez donc être en mesure de fournir les preuves pour tous vos contacts, y compris ceux dont le consentement a été recueilli avant cette date.

Si vous constatez que vous n’avez pas un consentement exprès bien documenté pour chacun de vos contacts, une campagne de requalification est normalement recommandée. Mais maintenant que le RGPD est en vigueur, toute communication sans ce consentement documenté pourrait vous exposer à des risques. Deux choix s’offrent donc à vous :

Il vous reste également l’option d’envoyer une campagne de requalification à vos contacts, mais maintenant que la deadline du RGPD est passée, cela se fera à vos risques et périls.

Vous pouvez retirer toutes les personnes pour lesquelles vous n’avez pas de preuve de consentement de vos listes de contacts. De cette façon, vous serez certain(e) de ne pas aller à l’encontre du RGPD en contactant des personnes pour lesquelles vous n’êtes pas en mesure de prouver le consentement.

D’après la Cnil, tout particulier est en droit d’accéder à tout moment à l’ensemble des informations la concernant, d’en connaître l’origine, d’en obtenir une copie ou d’exiger que celles-ci soient complétées, corrigées, mises à jour ou supprimées.

• exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.
• accéder aux informations sur lesquelles le responsable du fichier s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion ou le score attribué par une banque et qui a conduit au rejet de votre demande de crédit) ;
• en obtenir la copie (des frais n’excédant pas le coût de la reproduction peuvent être demandés) ;

Toute personne est en droit de contacter un organisme en vue de lui demander la suppression de sa data personnelle de sa base de données. Les raisons peuvent être variées et ne doivent pas nécessairement être justifiées. Le plus souvent, elles témoignent l’envie de mettre fin à un mailing de prospection commercial.

Tout utilisateur a la possibilité de faire valoir son opposition à l’utilisation de ses données personnelles. Seuls quelques rares cas peuvent imposer le traitement de la data, le plus souvent à des fins administratives (déclaration d’impôt par exemple). À noter que mes conditions générales doivent mentionner cette opportunité et permettre à l’internaute de refuser la collecte et l’exploitation de sa data personnelle.

Si cette procédure est plutôt rare en pratique, elle existe néanmoins. Concrètement, le droit à la portabilité stipule qu’une personne est en droit de réclamer à un responsable de traitement la date qui le concerne, en vue de l’exploiter ou plus largement de la transmettre à un autre responsable du traitement.

Il existe d’autres obligations liées au RGPD s’appliquant au mailing. Après avoir reçu l’une de vos communications, les destinataires doivent notamment être en mesure de faire valoir leurs droits. 

Il vous faudra donc mettre à jour vos mentions d’information afin d’indiquer clairement la ou les marche(s) à suivre pour faire valoir ces derniers. Vous indiquerez par exemple la personne à contacter et ses coordonnées (nom, prénom, adresse email et/ou numéro de téléphone, etc.). Ce peut être la personne en charge du traitement opérationnel des données, votre responsable emailing ou bien votre DPO (Data Protection Officer ou « responsable à la protection des données » en français).

Forcer un internaute à être exposé à du contenu promotionnel non désiré est contre-productif. En revanche, un abonné consentant signifie généralement une hausse du taux de clic sur vos campagnes, un ciblage de bien meilleur qualité et possiblement une augmentation des ventes et achats.

Dans une même logique, une liste de diffusion consentante minimise les risques de voir vos campagnes signalés comme des spams. Cela conduit à une meilleure délivrabilité et à des campagnes de mailing bien plus efficientes, puisque le public a plus de chance d’y être réceptif.

La réputation d’expéditeur est un critère essentiel dans une bonne stratégie emailing. Plus le score de votre entreprise est élevé, plus le taux de délivrabilité l’est également. Or, la réputation d’expéditeur est calculé à partir de différentes indications comme le taux de spam, le taux d’ouverture ou plus largement la fiabilité du service émetteur.

C’est une pratique tentante, mais souvent contre-productive. En effet, la plupart des bases de contacts en vente sur internet comportent des adresses erronées ou  qui ne sont plus actives, faisant statistiquement chuter votre score de délivrabilité et vos performances globales. En outre, vous vous exposez à des risques de plaintes pour violation de la RGPD, à des sanctions potentiellement importantes en cas de plaintes.

C’est un élément indissociable d’une bonne politique RGPD. Il est essentiel de laisser aux abonnés la possibilité de se désinscrire à tout moment. Cette pratique renforce votre image de marque, en plus de vous mettre en conformité.

Chercher à cacher des informations essentielles à l’usager est vu d’un mauvais oeil. Un manque de transparence sur la politique de confidentialité et la base légale liée à la collecte et l’exploitation de la date des abonnés peut nuire en votre défaveur. 

Pour communiquer en toute sérénité auprès de vos clients et prospects, il est important d’avoir les bons outils. Solution emailing largement reconnue, Mailjet offre des avantages de taille dans la création de campagnes respectueuses du RPGD. On pense notamment à la création d’un formulaire double opt-in via l’API de Mailjet ainsi qu’à l’insertion automatique du lien de désinscription via l’outil Éditeur de mail.
Par ailleurs, il est à souligner que Mailjet garantit un taux de délivrabilité élevé et contribue au maintien de votre bonne réputation d’expéditeur, en plus de proposer de nombreuses fonctionnalités pour faciliter le quotidien de vos équipes (collaboration en temps réel sur un même projet, intégration CRM et CMS, monitoring des performances.

Prenons comme exemple la newsletter de Mailjet. Les contacts sont tous collectés via des formulaires d’inscription avec un processus de double opt-in. Cela signifie qu’après avoir soumis une demande d’abonnement, un email est envoyé avec un bouton sur lequel les utilisateurs doivent cliquer pour confirmer qu’ils veulent bien s’inscrire. Mailjet s’assure ainsi d’avoir bien recueilli le consentement de chaque contact avant qu’il soit ajouté à la liste d’abonnés.

Ensuite, la newsletter de Mailjet inclut un lien de désabonnement facilement trouvable à la fin de chaque email afin que les abonnés puissent se désinscrire simplement s’ils le souhaitent :

Comme indiqué précédemment, sachez que, si vous utilisez la plateforme de Mailjet pour envoyer vos emails marketing, ce lien sera ajouté automatiquement à la fin de chacune de vos campagnes. Cela vous permettra d’être en conformité avec cette exigence du RGPD.

D’une manière générale, il est impératif d’obtenir le consentement d’un usager pour lui envoyer des emails de prospection commerciale. Toutefois, certains cas spécifiques permettent de contourner l’obtention de cette autorisation (démarchage B2B, promotion d’une oeuvre caritative…).

La principale différence réside dans la confirmation du consentement de l’utilisateur. Comme le nom le laisse supposer, le double opt-in implique une étape supplémentaire, à savoir la confirmation par mail de la volonté d’abonnement.

La durée de conservation dépend de plusieurs critères. Des guides pratiques disponibles sur le site de la Cnil peuvent aider le responsable de traitement à l’établir avec précision selon chaque cas de figure.

Pour rendre vos contenus marketing (newsletter, offre promotionnelle…) conformes au RGPD, vous pouvez suivre la base légale fournie sur le site de la Cnil. Parmi les principales mesures, vous devez obtenir le consentement des abonnés et leur présenter la possibilité de se désinscrire sur l’ensemble des contenus partagés.

Les sanctions sont évolutives. Si la Cnil privilégie les rappels et la mise en conformité dans un premier temps, elle peut entreprendre des sanctions administratives ou pénales si l’entreprise refuse de jouer le jeu. Ces pénalités peuvent représenter des sommes colossales (de 10 à 20 millions d’euros) et amener à des peines allant jusqu’à 5 ans de prison.