Consentement e-mail RGPD : comment le recueillir correctement
Consentement e-mail RGPD : comment le recueillir correctement
Bien gérer le consentement e-mail sous le RGPD ne consiste pas à ajouter une case à cocher en croisant les doigts — il s’agit de pouvoir prouver, plus tard, qu’une personne a réellement accepté de recevoir vos messages. Bien fait, cela vous protège juridiquement et construit une liste de personnes qui veulent vraiment vos e-mails, ce qui est le plus grand service que vous puissiez rendre à votre délivrabilité. Ce guide est pratique et formulé simplement. Il ne constitue pas un conseil juridique — pour votre situation particulière, adressez-vous à un professionnel qualifié.
Une précision rapide sur les personnes concernées : le RGPD couvre les personnes situées dans l’UE et l’EEE, quel que soit le lieu d’implantation de votre entreprise. Si vous envoyez des e-mails à quiconque dans cette région, ces règles s’appliquent.
Ce que signifie réellement un « consentement valide »
Sous le RGPD, le consentement doit franchir une barre précise. Les régulateurs décrivent un consentement valide comme libre, spécifique, éclairé et univoque, donné par un acte positif clair. Décortiquons cela :
- Libre — la personne a un véritable choix. Vous ne pouvez pas faire du consentement au marketing e-mail une condition pour acheter un produit ou accéder à un service qu’elle est venue chercher.
- Spécifique — le consentement couvre une finalité définie. « Inscrivez-vous à notre newsletter » est spécifique ; « accepter tout » noyé dans un mur de conditions ne l’est pas.
- Éclairé — avant d’accepter, la personne sait qui vous êtes et à quoi elle s’inscrit.
- Univoque — c’est un oui délibéré. Un acte positif clair, comme cocher une case non pré-cochée ou cliquer sur un bouton d’abonnement clairement libellé.
Le point pratique à retenir : pas de cases pré-cochées, pas de consentement intégré à des conditions sans rapport, pas de silence valant accord. La personne doit donner son consentement activement.
Opt-in vs opt-out (et pourquoi l’opt-in l’emporte)
L’opt-out — présumer le consentement jusqu’à ce que quelqu’un se désabonne — ne satisfait pas à l’exigence d’acte positif du RGPD pour les e-mails marketing. Il vous faut l’opt-in : la personne fait une démarche positive pour s’inscrire.
Il en existe deux variantes :
- Opt-in simple — la personne soumet le formulaire et la voilà sur la liste.
- Opt-in confirmé (double opt-in) — la personne soumet le formulaire, puis clique sur un lien dans un e-mail de confirmation pour vérifier.
Le RGPD n’impose pas nommément le double opt-in, mais l’opt-in confirmé est largement considéré comme une bonne pratique car il remplit deux fonctions à la fois : il renforce votre preuve du consentement et il filtre les fautes de frappe, les fausses adresses et les boîtes jetables. Ce second avantage est de l’or pur en matière de délivrabilité — vous démarrez avec une liste propre, réelle et engagée. Pour une vue d’ensemble sur l’impact de la qualité de la liste sur la boîte de réception, consultez notre guide de la délivrabilité e-mail.
À quoi ressemble un formulaire d’inscription conforme
Vous n’avez pas besoin d’un service juridique pour maîtriser les fondamentaux. Un formulaire conforme fait généralement ce qui suit :
- Demande un acte positif clair. Une case à cocher facultative et non pré-cochée, ou une soumission « S’abonner » sans équivoque dont la finalité est évidente.
- Indique qui collecte les données — le nom de votre organisation.
- Explique ce que la personne recevra — par exemple « des e-mails marketing sur les nouveaux produits et les offres », pas un vague « actualités ».
- Renvoie vers votre politique de confidentialité afin de satisfaire à l’exigence « éclairé ».
- Sépare le consentement marketing des autres actions. Si quelqu’un crée un compte ou passe une commande, l’opt-in marketing est un choix distinct et facultatif — pas rivé à l’achat.
- Rend le désabonnement aussi facile que l’abonnement. Chaque e-mail a besoin d’un lien de désabonnement fonctionnel et quasi instantané, et vous devez l’honorer rapidement.
Si vous gérez du e-commerce, surveillez tout particulièrement le piège du regroupement : un tunnel d’achat qui abonne automatiquement les acheteurs, ou qui dissimule l’opt-in dans « J’accepte les conditions », est l’erreur classique.
Conservez la preuve — un consentement indémontrable ne vaut presque rien
Le RGPD fait peser sur vous la charge de démontrer que le consentement a été donné. Alors consignez-le. Pour chaque abonné, il est judicieux d’enregistrer :
- Qui a consenti (l’adresse e-mail / l’identifiant),
- Quand la personne a consenti (horodatage),
- Comment — quel formulaire ou quelle source,
- À quoi elle a consenti — la formulation exacte affichée à ce moment-là.
La plupart des plateformes d’e-mailing réputées le capturent automatiquement lorsque les gens s’inscrivent via leurs formulaires hébergés, ce qui est une raison pratique de collecter les inscriptions via votre ESP plutôt que d’y verser des adresses manuellement. Notre comparatif des meilleurs logiciels d’email marketing passe en revue les outils qui gèrent nativement la journalisation du consentement et l’opt-in confirmé.
Erreurs de consentement courantes à éviter
- Les cases pré-cochées. Une valeur sûre chez les régulateurs — et un consentement non valide.
- Acheter ou aspirer des listes. Ces personnes ne vous ont jamais donné leur consentement. Au-delà de l’exposition juridique, les listes froides plombent rapidement votre engagement et votre réputation.
- Considérer un ancien consentement comme éternel. Le consentement peut devenir obsolète. Si un contact n’a pas réagi depuis très longtemps, des campagnes de re-consentement ou une politique de désengagement vous gardent à la fois conforme et délivrable.
- Compliquer le désabonnement. Masquer le lien ou exiger une connexion pour partir mine le caractère « libre » et pousse les gens, exaspérés, à cliquer sur « spam ».
- Un seul consentement pour tout. L’e-mail, le SMS et le profilage sont des finalités différentes. Ne les regroupez pas dans une seule case.
Pour la place du consentement dans votre tableau de conformité plus large, voyez notre pilier sur le marketing par e-mail et le RGPD.
Une checklist de consentement simple
Avant de lancer un formulaire d’inscription, vérifiez :
- L’opt-in est un choix actif et positif (pas de cases pré-cochées)
- Le consentement marketing est séparé des achats ou de la création de compte
- Vous nommez votre organisation et décrivez ce que les abonnés recevront
- Une politique de confidentialité est liée
- Vous enregistrez le qui/quand/comment/quoi de chaque consentement
- Le désabonnement est facile et honoré rapidement
- (Recommandé) L’opt-in confirmé est activé
FAQ
Le RGPD impose-t-il le double opt-in ? Pas nommément. La loi exige que le consentement soit libre, spécifique, éclairé et univoque. L’opt-in confirmé (double opt-in) n’est pas strictement obligatoire, mais c’est une bonne pratique solide car il améliore à la fois votre preuve du consentement et la qualité de votre liste.
Les cases de consentement pré-cochées sont-elles autorisées ? Non. Le consentement doit résulter d’un acte positif clair, et une case pré-cochée n’est pas valable. C’est à l’abonné de cocher.
Combien de temps dure le consentement e-mail ? Le RGPD ne fixe pas d’expiration précise, mais le consentement peut devenir obsolète si un contact cesse de réagir. De nombreux marketeurs re-confirment ou désengagent les abonnés inactifs de longue date pour rester à la fois conformes et délivrables.
Puis-je envoyer des e-mails à des personnes qui m’ont acheté quelque chose sans consentement distinct ? Les règles relatives au « soft opt-in » pour les clients existants varient selon les pays et les situations et comportent des conditions précises. Ne présumez rien — gardez le consentement marketing explicite et séparé, et vérifiez les règles applicables à votre audience.
Un consentement bien fait, c’est Vaillant qui ne vole que vers les personnes qui ont levé la main pour demander le courrier. C’est mieux pour la loi, et bien mieux pour la boîte de réception.