Votre formulaire d’inscription est conforme. Votre lien de désinscription fonctionne. Vous pensez être en règle. Et pourtant, c’est exactement le profil des boîtes qui reçoivent une mise en demeure CNIL un mardi matin sans l’avoir vu venir. La mise en conformité RGPD en emailing ne ressemble pas à ce qu’on vous a décrit — et les décisions 2025 de la CNIL le prouvent de façon cinglante.
À retenir
La mise en conformité RGPD en emailing repose sur quatre réalités souvent ignorées. Première : le consentement sans preuve documentée est juridiquement nul, la délibération SAN-2025-017 en est la démonstration la plus récente et la plus coûteuse.
Deuxième : un mécanisme de désinscription partielle (qui ne désabonne pas de toutes vos bases simultanément) est considéré comme inexistant par la CNIL, à 80 000 euros la leçon.
Troisième : le régime B2B vous offre une marge de manœuvre réelle sur la prospection à froid, sous conditions précises à ne pas étirer.
Quatrième : la granularité du consentement est le nouveau terrain de jeu des contrôles, consentir à recevoir vos emails ne signifie pas consentir à ce que vous transmettiez ces données à des partenaires publicitaires.
La conformité que vous croyez avoir
Il y a deux ans, j’accompagnais un e-commerçant convaincu d’être parfaitement conforme. Double opt-in en place, politique de confidentialité à jour, lien de désabonnement dans chaque email. Tout coché. Sauf qu’à l’audit, on a découvert que la preuve de consentement n’était stockée nulle part — le formulaire enregistrait l’adresse, pas la date, l’heure, ni la version du texte affiché au moment de l’inscription. Sans cette traçabilité, le consentement n’existe pas légalement. La CNIL ne vous demande pas si vous avez obtenu le consentement. Elle vous demande de le prouver, immédiatement, sur n’importe quel contact de votre base.
C’est la distinction que la quasi-totalité des guides RGPD esquivent. Collecter le consentement et pouvoir le prouver sont deux choses radicalement différentes. Et en 2025, la CNIL l’a rappelé avec 486 839 500 euros d’amendes cumulées — un chiffre en hausse de 107% par rapport à 2024, avec 32% des contrôles visant des PME et TPE.
Le cas qui doit vous tenir éveillé la nuit
Le 30 décembre 2025, la CNIL a infligé 3,5 millions d’euros d’amende à une société exploitant un programme de fidélité (délibération SAN-2025-017). La faute commise ? La société avait transmis les données de ses membres à un réseau social pour du ciblage publicitaire — en invoquant le consentement recueilli au moment de l’adhésion au programme, lorsque les utilisateurs avaient accepté de recevoir de la prospection par email et SMS. La CNIL a considéré ce consentement invalide : il ne couvrait pas explicitement cette utilisation précise des données pour du ciblage tiers. Un consentement réel, mais trop large, trop flou, insuffisamment granulaire.
La leçon n’est pas que cette entreprise était malveillante. C’est qu’elle pensait sincèrement avoir fait les choses correctement. Et c’est ça, le vrai piège du RGPD en 2026.
Encore plus instructif pour les structures moyennes : en mai 2025, une société a été sanctionnée à 80 000 euros pour une raison que beaucoup d’entre vous reproduisent probablement aujourd’hui. Le lien de désinscription dans ses emails ne désabonnait l’utilisateur que de la liste du partenaire expéditeur — pas de l’ensemble des bases de la société. Juridiquement, ce mécanisme de désinscription partielle est considéré comme inexistant. Le droit de retrait du consentement doit être total, immédiat, sans friction supplémentaire.
Ce qui déclenche vraiment un contrôle
Les sanctions ne tombent pas au hasard. Les plaintes directes de consommateurs constituent le premier déclencheur de contrôle CNIL — devant les signalements d’associations et les contrôles proactifs. Un abonné mécontent qui clique sur “signaler” dans Gmail, ou qui dépose une plainte sur le portail de la CNIL, peut initier une procédure qui aboutit à une amende. Les montants moyens pour les structures de taille intermédiaire oscillent entre 15 000 et 50 000 euros pour des cas de newsletter sans consentement valide.
Ce qui m’a toujours frappé dans ce mécanisme, c’est son asymétrie : le préjudice pour l’utilisateur est souvent mineur — un email de trop — mais le coût pour l’entreprise peut être existentiel. La question n’est donc pas “avons-nous respecté l’esprit du RGPD ?” mais “notre documentation résisterait-elle à un audit contradictoire demain matin ?”
Le chantier réel, étape par étape
Commencez par l’audit de la preuve de consentement. Pour chaque contact de votre base, vous devez pouvoir retrouver : la date et l’heure d’inscription, la source exacte (quel formulaire, quelle page), et le libellé précis affiché à ce moment-là. Si votre CRM ou votre outil d’emailing ne stocke pas ces métadonnées nativement, vous avez un problème structurel — pas un problème de formulaire.
Vient ensuite la segmentation par base légale. Tous vos contacts ne sont pas sous le même régime juridique. Vos anciens contacts pré-2018, vos contacts issus d’un partenariat ou d’un programme de fidélité, vos prospects B2B en relation commerciale avérée — chaque segment a une base légale différente et doit être traité séparément. La délibération SAN-2025-017 le souligne explicitement : les données d’un programme de fidélité ne peuvent pas être réutilisées pour des stratégies de ciblage diversifiées sans consentements distincts et explicites pour chaque finalité.
La partie que personne ne veut faire : la purge. Si vous ne pouvez pas prouver le consentement d’un contact, il faut soit lancer une campagne de re-confirmation (en acceptant de perdre 40 à 60% de votre base), soit supprimer. Garder un contact sans preuve de consentement valide parce qu’il ouvre vos emails régulièrement est une logique commerciale compréhensible — et une faute juridique caractérisée.
B2B : la règle que personne ne vous dit
Si vous prospectez des professionnels, le RGPD ne vous impose pas de consentement préalable, à condition que votre offre soit en lien direct avec l’activité de votre destinataire et que vous proposiez un désabonnement dès le premier contact. C’est l’article L.34-5 du Code des postes et des communications électroniques, interprété en conjonction avec le RGPD — et c’est légalement solide.
J’ai délibérément choisi de ne pas appliquer ce principe à tous mes clients B2B, pour une raison simple : la frontière entre “professionnel dans sa fonction” et “particulier” est plus floue qu’il n’y paraît. Un auto-entrepreneur contacté sur son adresse Gmail personnelle, un dirigeant dont l’adresse email est à son nom — dans ces cas, la prudence impose l’opt-in. La règle B2B est un outil puissant, pas un blanc-seing.
Les trois outils qui simplifient vraiment la conformité
Brevo stocke nativement les métadonnées de consentement et permet d’exporter une preuve horodatée par contact — c’est le point différenciant concret face à Mailchimp sur ce sujet précis. HubSpot est plus adapté si votre CRM et votre outil d’emailing sont unifiés : la traçabilité est bout en bout, sans export manuel. Pour les structures qui veulent auditer une base existante sans tout migrer, RGPDKit propose des outils de scan de conformité documentaire.
Évitez de choisir un outil uniquement sur critère d’interface ou de prix sans vérifier ses capacités de journalisation du consentement. C’est l’erreur classique, et elle vous rattrape le jour où vous en avez le plus besoin.
Ce que ça dit de votre relation client
Voilà la vraie question à se poser, celle qui dépasse le juridique : si vous avez besoin de conserver dans votre base des contacts dont vous ne pouvez pas prouver le consentement, c’est peut-être parce que votre taux d’inscription organique est insuffisant. La conformité RGPD, appliquée sérieusement, fonctionne comme un miroir brutal de la qualité de votre acquisition. Les entreprises qui s’y conforment sans douleur sont celles dont les abonnés ont vraiment voulu s’inscrire.
Les autres découvrent, à cette occasion, qu’elles ont bâti leur liste marketing sur du sable — et que la CNIL facture désormais ce sable à un prix que les bilans 2025 rendent difficile à ignorer.