Le RGPD encadre la manière dont les entreprises collectent, utilisent et conservent les données personnelles dans leurs campagnes email marketing. Pour envoyer des messages à vos contacts, vous devez respecter plusieurs règles RGPD : définir une base légale, expliquer la finalité du traitement, recueillir un consentement lorsque c’est nécessaire, permettre la désinscription et protéger les droits des personnes concernées.
Ces règles ne concernent pas seulement les formulaires d’inscription. Elles touchent aussi la prospection commerciale, le marketing direct, la personnalisation, le profilage, la conservation des données, le rôle du responsable de traitement et le choix des sous-traitants. Elles s’inscrivent également dans un cadre plus large, avec la CNIL en France et la directive ePrivacy pour les communications électroniques.
Dans cet article, nous faisons le point sur les obligations à connaître pour envoyer des campagnes email marketing conformes, limiter les risques de non-conformité et construire une relation plus transparente avec vos abonnés.
Le RGPD impose aux entreprises de traiter les données personnelles de manière claire, loyale et sécurisée. Dans le cadre de l’email marketing, cela signifie que vous devez savoir pourquoi vous collectez une adresse email, comment vous allez l’utiliser, combien de temps vous allez la conserver et sur quelle base légale vous vous appuyez.
La base légale est le point de départ. Pour certaines campagnes, le consentement explicite est nécessaire : la personne doit accepter de recevoir vos communications par une action claire, par exemple une case à cocher non pré-cochée. Dans d’autres cas, notamment en B2B, l’intérêt légitime peut être mobilisé si le message est lié à l’activité professionnelle de la personne et si elle peut s’opposer facilement à la prospection.
Autrement dit, la bonne question n’est pas seulement : “Puis-je envoyer cet email ?” mais plutôt : “Pourquoi ai-je le droit de l’envoyer, à qui, dans quel but, et avec quelles garanties ?”
Voici une grille simple pour vous orienter :
Dans une stratégie d’emailing marketing, le RGPD ne doit pas être vu comme un frein, mais comme un cadre juridique pour mieux structurer la relation client. Chaque campagne doit avoir un objectif clair : informer, fidéliser, proposer un service, présenter un produit ou reprendre contact avec un prospect. Cette finalité doit être cohérente avec ce qui a été annoncé au moment de l’inscription.
La règle à respecter est simple : vous devez pouvoir expliquer pourquoi vous détenez une donnée, comment vous l’utilisez et sur quelle base légale vous vous appuyez. C’est valable pour une newsletter, une liste de diffusion, une campagne d’emailing ponctuelle ou une séquence automatisée. Le responsable du traitement doit aussi être capable de documenter ses choix, notamment en cas de demande d’un contact ou de contrôle.
Le RGPD repose aussi sur le principe de minimisation : ne collectez que les données réellement nécessaires. Si une adresse email suffit pour envoyer une newsletter, inutile de demander des informations supplémentaires sans justification.
En cas de non-respect du RGPD, une entreprise peut s’exposer à des sanctions RGPD et à une amende CNIL. Le risque n’est pas seulement financier : une violation RGPD peut aussi nuire à la confiance de vos contacts et à votre image de marque.
Pour limiter ces risques dès l’inscription, le double opt-in reste une pratique utile : la personne renseigne son adresse, puis confirme son inscription via un email dédié. Cela vous aide à documenter le consentement et à maintenir une base plus propre.

Pour envoyer des emails marketing en conformité, vous devez regarder l’ensemble du parcours : collecte, stockage, segmentation, envoi, désinscription et conservation des données. Une campagne conforme ne dépend pas d’un seul formulaire ou d’une seule mention légale. Elle repose sur une méthode claire.
Commencez par vérifier la collecte. Chaque formulaire doit expliquer la finalité : newsletter, offres commerciales, invitations, contenu éditorial, informations produit ou communication partenaire. La personne doit comprendre ce qu’elle va recevoir avant de s’inscrire.
Ensuite, identifiez les mentions obligatoires dans vos emails de prospection. Un message conforme doit permettre au destinataire de reconnaître l’expéditeur, comprendre pourquoi il reçoit ce message et se désinscrire facilement. Il est recommandé d’inclure :
Pour assurer la conformité, il est utile de formaliser une courte check-list avant chaque envoi : la base légale est-elle claire ? Le recueil du consentement est-il documenté lorsque nécessaire ? Le lien de désinscription fonctionne-t-il ? Les informations collectées sont-elles vraiment utiles ? Le contenu correspond-il bien à la promesse initiale faite au contact ?
Cette méthode permet d’éviter les erreurs fréquentes : utiliser une base trop ancienne, envoyer un message sans lien avec la finalité initiale, oublier le droit d’opposition ou mélanger plusieurs usages dans un même formulaire. Pour approfondir ces bonnes pratiques RGPD, vous pouvez aussi consulter notre guide pour créer des campagnes emailing conformes au RGPD.
La mise en œuvre doit aussi impliquer vos équipes marketing, commerciales et techniques. Le RGPD ne concerne pas uniquement le formulaire d’inscription : il touche aussi le CRM, les exports, les intégrations, les outils d’envoi et la gestion des données au quotidien.
Pensez aussi à documenter vos traitements. Le responsable de traitement doit pouvoir expliquer quelles données sont collectées, pour quelle finalité, pendant combien de temps et avec quels prestataires. Si vous utilisez un outil d’emailing ou un autre sous-traitant, le DPA, ou accord de traitement des données, permet d’encadrer les responsabilités.
La conformité passe également par la sécurité. Protégez l’accès aux bases de contacts, limitez les droits utilisateurs, nettoyez les listes obsolètes et vérifiez les exports. Une bonne hygiène de base réduit les erreurs, les envois non maîtrisés et les risques liés à la conservation inutile de données.
Vous pouvez aussi découvrir les engagements de Mailjet en matière de sécurité des données et confidentialité.
Oui, mais seulement si votre liste existante respecte les règles applicables. Une ancienne base de contacts ne devient pas automatiquement conforme parce qu’elle est déjà dans votre outil. Vous devez pouvoir démontrer l’origine de la collecte, la finalité annoncée et, lorsque c’est nécessaire, la preuve du consentement.
C’est souvent le point sensible des bases historiques. Certaines adresses ont été collectées via d’anciens formulaires, des événements, des téléchargements, des imports CRM ou des échanges commerciaux. Avant de continuer à envoyer, demandez-vous si ces contacts savaient clairement qu’ils allaient recevoir vos communications marketing.
Si vous n’avez pas de preuve suffisante, vous pouvez envisager une campagne de requalification ou de réengagement. L’objectif est de confirmer l’intérêt du contact, mettre à jour ses préférences et nettoyer la base. Cette approche permet aussi de supprimer les adresses inactives ou les contacts dont la finalité de collecte n’est plus claire.
Le RGPD impose également de respecter le principe de durée de conservation. Vous ne devez pas conserver indéfiniment des données personnelles sans raison valable. Une base inactive depuis longtemps doit être réévaluée, purgée ou anonymisée selon votre politique interne et votre contexte juridique.
Enfin, gardez une trace de vos choix. Date d’inscription, source de collecte, preuve du consentement, statut de désinscription et historique des préférences sont des éléments utiles en cas de contrôle ou de demande d’un contact.
Pas toujours. Le consentement explicite est généralement requis pour la prospection vers les particuliers. En B2B, certaines communications peuvent reposer sur l’intérêt légitime si elles sont liées à l’activité professionnelle du destinataire, proportionnées et accompagnées d’un droit d’opposition clair. Dans tous les cas, le contact doit être informé et pouvoir se désinscrire facilement.
Mailjet est contre l’achat de listes de contacts. Au-delà de l’impact négatif sur la délivrabilité, ces pratiques posent de vrais problèmes de conformité RGPD. Lorsque vous achetez ou louez une base, vous devez être capable de prouver que les personnes ont été informées de l’usage de leurs données et, lorsque nécessaire, qu’elles ont consenti à recevoir vos messages.
Le problème, c’est que cette traçabilité est souvent fragile. Vous ne maîtrisez pas toujours la source exacte de la collecte, la formulation utilisée, la date de consentement, la finalité annoncée ni les partenaires mentionnés. Résultat : vous envoyez un message de prospection commerciale à des personnes qui ne vous connaissent pas et qui n’ont peut-être jamais accepté de recevoir vos emails.
Ces pratiques peuvent aussi dégrader vos performances. Une liste achetée contient souvent des adresses peu qualifiées, obsolètes ou non engagées. Cela peut entraîner davantage de désabonnements, de plaintes spam, de rebonds et de signaux négatifs pour votre réputation d’expéditeur.
Pour le marketing direct, mieux vaut construire progressivement une base saine : formulaires d’inscription clairs, contenus utiles, double opt-in, préférences d’abonnement et désinscription simple. Vous gagnez moins vite en volume, mais vous gagnez en qualité, en confiance et en conformité.
Si vous avez un doute sur la conformité d’une base, sur la responsabilité liée à un fournisseur ou sur la traçabilité du consentement, mieux vaut vérifier avant d’envoyer.
Le désabonnement est un droit essentiel dans une stratégie email marketing conforme. Chaque destinataire doit pouvoir s’opposer simplement à la réception de vos messages. Le lien de désinscription doit être visible, fonctionnel et facile à utiliser.
Une désinscription ne doit pas devenir un parcours compliqué. Évitez les formulaires trop longs, les connexions obligatoires ou les messages ambigus. Si une personne veut arrêter de recevoir vos communications, son choix doit être respecté rapidement.
Le RGPD donne aussi plusieurs droits aux personnes concernées : droit d’accès, droit de rectification, droit de suppression, droit d’opposition et, dans certains cas, droit à la limitation du traitement. Vos processus doivent permettre de répondre à ces demandes.
La durée de conservation est également importante. Vous pouvez conserver certaines données pour gérer la preuve du désabonnement ou éviter de recontacter une personne opposée à vos communications, mais vous ne devez pas garder toutes les informations sans justification. L’enjeu consiste à conserver ce qui est nécessaire, pendant une durée cohérente avec la finalité.
Une bonne pratique consiste à mettre en place une politique de purge : contacts inactifs, adresses obsolètes, anciennes listes non qualifiées, préférences non confirmées. Cette approche améliore à la fois la conformité, la qualité de la base et la délivrabilité.
Il n’existe pas une durée unique valable pour tous les cas. La durée de conservation dépend de la finalité, de la relation avec le contact et de votre contexte. Le principe à retenir est simple : ne conservez pas les données plus longtemps que nécessaire. Définissez une règle interne, documentez-la et prévoyez des actions de mise à jour, suppression ou anonymisation.

La personnalisation peut améliorer la pertinence de vos campagnes, mais elle doit rester encadrée. Utiliser le prénom d’un contact, adapter une newsletter à ses préférences ou segmenter selon ses centres d’intérêt ne pose pas les mêmes enjeux qu’un profilage avancé ou une décision automatisée.
Le RGPD impose de rester transparent sur la finalité du traitement. Si vous collectez des données pour personnaliser vos emails, expliquez-le clairement. Si vous utilisez des segments, des scores, des comportements d’ouverture ou de clic, assurez-vous que cette utilisation est proportionnée et compréhensible pour vos contacts.
Avec l’arrivée de nouveaux outils d’IA et d’automatisation, cette vigilance devient encore plus importante. Les équipes marketing peuvent personnaliser plus finement les messages, mais elles doivent éviter de collecter trop de données, de créer des segments opaques ou de réutiliser des informations pour une finalité différente de celle annoncée.
Le bon équilibre consiste à personnaliser sans surprendre. Un abonné doit comprendre pourquoi il reçoit un message, comment ses données sont utilisées et comment il peut modifier ses préférences ou se désinscrire.
Pour approfondir ce sujet, consultez notre ressource dédiée au RGPD et au profilage. Et si vous travaillez avec des outils externes, vous pouvez aussi lire notre guide sur les prestataires et le RGPD.
Le RGPD n’est pas seulement une contrainte juridique. C’est un cadre qui vous aide à construire une relation plus saine avec vos contacts : collecte transparente, consentement maîtrisé, données minimisées, désinscription simple et personnalisation responsable.
Pour vos campagnes email marketing, l’objectif est clair : envoyer à des personnes qui comprennent pourquoi elles reçoivent vos messages, qui peuvent gérer leurs préférences et qui gardent le contrôle sur leurs données.
Avec Mailjet, vous pouvez créer des campagnes, gérer vos contacts et vous appuyer sur une plateforme pensée pour la confidentialité et la sécurité des données.
Pour compléter ce guide, vous pouvez aussi consulter notre centre de ressources RGPD Mailjet.
La base légale dépend de votre cible et de votre contexte. Pour les particuliers, le consentement préalable est généralement nécessaire. Pour les professionnels, l’intérêt légitime peut parfois s’appliquer si le message est lié à leur activité et s’ils peuvent s’opposer facilement à la prospection. Dans tous les cas, vous devez informer clairement les destinataires.
Une non-conformité peut entraîner un rappel à l’ordre, une mise en demeure, une limitation de traitement ou une amende CNIL. Les conséquences dépendent de la gravité du manquement, du volume de données, du niveau de coopération et des mesures mises en place pour corriger la situation.
Les principes du RGPD s’appliquent dans les deux cas, mais les règles de prospection diffèrent. En B2C, le consentement préalable est généralement requis. En B2B, la prospection peut être possible sous conditions, notamment si le message est pertinent pour l’activité professionnelle du destinataire et si le droit d’opposition est clairement proposé.
Un email de prospection doit permettre d’identifier l’expéditeur, comprendre la finalité du message et se désinscrire facilement. Il est aussi recommandé d’ajouter un moyen de contact, une information sur l’usage des données et un lien vers votre politique de confidentialité.
Vous devez définir une durée cohérente avec la finalité de collecte. Une adresse collectée pour une newsletter active ne répond pas au même besoin qu’un contact inactif depuis longtemps ou qu’une ancienne base jamais requalifiée. L’essentiel est de documenter votre règle et de supprimer ou anonymiser les données devenues inutiles.
Le tracking peut être utilisé si vous respectez les principes de transparence, de finalité et de proportionnalité. Expliquez à vos contacts comment vous mesurez les performances de vos campagnes, pourquoi vous le faites et comment ils peuvent exercer leurs droits.