Le double opt-in est-il obligatoire pour une newsletter en France ?

Pas strictement obligatoire mais fortement recommandé par la CNIL. Le single opt-in est légal si tu peux prouver le consentement (formulaire signé, IP, horodatage). En pratique, le double opt-in est la seule façon de prouver le consentement de manière incontestable en cas de contrôle CNIL.

Quelle est l'amende moyenne pour newsletter non conforme ?

De 5 000€ pour une PME jusqu'à 3 M€ pour les grands groupes. Exemples 2023-2025 : Yves Rocher 3M€, Voodoo 3M€, Carrefour 2,25M€, KSPM 50 000€. La CNIL adapte au CA et au nombre de personnes affectées.

Email marketing Publié le 5 juin 2026 · Lecture : 12 min

Newsletter et RGPD 2026 : Double Opt-In, Désinscription, Sanctions (Modèles)

Q: Peut-on envoyer une newsletter à ses clients sans consentement ?

Oui pour des produits/services similaires à ceux déjà achetés (soft opt-in, art. L34-5 CPCE), à condition que le client puisse se désinscrire à chaque envoi et que tu utilises l'adresse fournie pendant l'achat. Pour des produits différents : consentement obligatoire.

Q: La désinscription doit-elle être en 1 clic ?

Oui. La CNIL exige une désinscription aussi simple que l'inscription. Un lien direct dans chaque email, qui désinscrit en 1 clic sans demander de mot de passe ni de justification. Demander des informations supplémentaires = sanction probable.

Q: Peut-on acheter une base d'emails pour faire sa première campagne ?

Non. Les emails achetés ne sont jamais valides RGPD car le consentement n'est pas spécifique à ton entreprise. Sanction immédiate dès la première plainte. Privilégier le lead magnet (contenu gratuit en échange d'un email) avec double opt-in.

En bref : Une newsletter RGPD-conforme repose sur 4 piliers : consentement libre, spécifique, éclairé et univoque (cases pré-cochées interdites), double opt-in (validation par email), désinscription en 1 clic dans chaque envoi, et preuve du consentement conservée 3 ans. Les amendes CNIL 2023-2025 vont de 50 000 € (KSPM) à 3 M€ (Yves Rocher, Voodoo). Cet article donne les modèles de cases à cocher, emails de confirmation et liens de désinscription prêts à utiliser.

L'email marketing est l'un des canaux les plus rentables (ROI moyen : 36 € pour 1 € investi). Mais c'est aussi le sujet sur lequel la CNIL sanctionne le plus souvent en 2024-2025. La raison : la plupart des entreprises bricolent leurs cases à cocher, oublient le double opt-in, ou achètent des bases. À chaque envoi, c'est une plainte potentielle.

+42 % de plaintes "prospection commerciale" à la CNIL en 2024. Sur les 18 200 plaintes reçues en 2024, près de 4 300 concernent l'email marketing non conforme : newsletter envoyée sans consentement, absence de lien de désinscription, achats de bases d'emails. Source : Rapport annuel CNIL 2024.

Cet article couvre concrètement :

Les 4 critères du consentement RGPD (libre, spécifique, éclairé, univoque)
Double opt-in vs single opt-in : que dit vraiment la loi ?
La règle du "soft opt-in" : quand peut-on envoyer sans consentement ?
5 erreurs qui déclenchent une amende CNIL
Process en 6 étapes pour une newsletter RGPD-conforme
5 cas concrets d'amendes 2023-2025 (Yves Rocher, Voodoo, Carrefour, IKEA...)
Modèles prêts : case à cocher, email confirmation, désinscription
Cas pratiques par outil : Brevo, Mailchimp, Klaviyo, Mailjet

Les 4 critères du consentement RGPD valide

L'article 4.11 RGPD définit le consentement comme une "manifestation de volonté libre, spécifique, éclairée et univoque". Si l'un des 4 critères manque, le consentement est nul — donc l'envoi de newsletter est une infraction caractérisée.

1. Libre — Pas conditionné à autre chose. Tu ne peux pas refuser un service parce que le client refuse la newsletter (sauf si la newsletter EST le service).

2. Spécifique — Un consentement par finalité. Tu ne peux pas regrouper "création de compte + newsletter + partenaires + cookies" en une seule case. Il faut une case par usage distinct.

3. Éclairé — La personne doit savoir ce à quoi elle consent : qui est responsable, à quelle fin, à quelle fréquence, et avec quels partenaires éventuels.

4. Univoque — Un acte positif clair. Une case pré-cochée ou un "consentement par défaut" n'est PAS valide. La CJUE l'a confirmé dans l'arrêt Planet49 (oct. 2019).

Double opt-in vs single opt-in : que dit vraiment la loi ?

Méthode	Process	Validité RGPD	Reco CNIL
Single opt-in	Case cochée → email enregistré → envoi	✓ Légal si preuve conservée	⚠️ Risqué (contestable)
Double opt-in	Case cochée → email de confirmation → clic obligatoire → envoi	✓ Légal	✅ Recommandé
Opt-out (pré-coché)	Case décochée nécessaire pour refuser	❌ Illégal depuis 2019	❌ Amende immédiate
Pas de case	Inscription = consentement implicite	❌ Illégal	❌ Amende immédiate

Pourquoi la CNIL recommande le double opt-in : en cas de contrôle, tu dois prouver le consentement. Avec un single opt-in, ta seule preuve est l'IP + timestamp de la case cochée. Avec un double opt-in, tu as en plus l'email de confirmation cliqué = preuve quasi inattaquable. C'est la différence entre "ma parole contre la tienne" et "voici la trace".

Le "soft opt-in" : envoyer sans consentement à ses clients

L'article L34-5 du Code des postes et des communications électroniques autorise une exception : tu peux envoyer une newsletter à un client SANS consentement préalable si 3 conditions cumulatives sont réunies :

L'email a été collecté à l'occasion d'une vente ou prestation de service
La newsletter porte sur des produits ou services analogues à ceux déjà fournis
Le client a été informé clairement au moment de la collecte qu'il pourrait recevoir cette newsletter, et il a pu refuser à ce moment-là

+ obligation continue : un lien de désinscription dans chaque email envoyé.

Cas concret : tu vends des chaussures. Un client achète une paire. Tu peux lui envoyer une newsletter sur tes nouvelles collections de chaussures (analogues). Tu ne peux PAS lui envoyer ta newsletter sur les sacs à main de ton partenaire (non analogue).

Les 5 erreurs qui déclenchent une amende CNIL

1Acheter une base d'emails et la balancer

Aucun consentement spécifique à TON entreprise → infraction immédiate. Première plainte reçue = enquête CNIL. Cas IKEA (2024) : 1,1 M€ pour usage de bases tierces.

2Cases pré-cochées ou cases groupées

Une seule case "j'accepte les CGV + cookies + newsletter + partenaires" = nul. CJUE Planet49 (2019). Cas Yves Rocher (2023) : 3 M€ pour cumul case unique + désinscription difficile.

3Lien de désinscription absent ou cassé

L'art. L34-5 CPCE impose la désinscription dans CHAQUE email. Sanction CNIL même si tu as 100 000 emails parfaits — il suffit d'1 sans lien pour déclencher la plainte. Cas Voodoo (2024) : 3 M€.

4Désinscription compliquée (login obligatoire, demande de motif)

La CNIL exige une désinscription aussi simple que l'inscription. Pas de mot de passe à retaper, pas de questionnaire de motif, pas de "vraiment êtes-vous sûr ?". Un clic = désinscrit. Cas Carrefour (2020-2024) : 2,25 M€ pour multiples manquements dont désinscription complexe.

5Pas de preuve du consentement conservée

Lors d'un contrôle CNIL, tu dois fournir pour chaque adresse : date du consentement, IP de la personne, formulaire utilisé, et idéalement la preuve du double opt-in cliqué. Sans preuve = la CNIL présume la non-conformité. Conservation : 3 ans après dernière interaction.

Process en 6 étapes pour une newsletter RGPD-conforme

1Recueil du consentement (case à cocher non pré-cochée)

Sur ton formulaire d'inscription, une case décochée par défaut, mention claire : "J'accepte de recevoir la newsletter de [Société] (env. 2 emails/mois). Je peux me désinscrire à tout moment."

Si tu collectes plusieurs consentements (newsletter + partenaires + analytics) : une case par usage.

2Email de confirmation (double opt-in)

Dès soumission, envoyer un email du type : "Confirmez votre inscription en cliquant sur ce lien. Sans confirmation sous 48 h, votre demande sera annulée."

Conserver le lien cliqué + timestamp = preuve incontestable.

3Stockage de la preuve de consentement

Pour chaque inscrit, stocker dans ta base : email, date, IP (au moment du clic), formulaire utilisé (URL), texte exact présenté, version de la politique de confidentialité en vigueur, statut du double opt-in.

Conservation : 3 ans après dernière interaction (puis purge).

4Envoi avec mentions obligatoires

Chaque email doit contenir :

Identification claire de l'expéditeur (nom + société)
Objet de l'email lisible
Lien de désinscription en 1 clic, visible (pas en 6px gris clair)
Lien vers la politique de confidentialité
Adresse postale de la société (en pied)

5Gestion de la désinscription

Le lien de désinscription doit fonctionner en 1 clic sans login, sans formulaire, sans demande de motif. Page de confirmation : "Vous êtes bien désinscrit." Fin.

Tu peux ensuite proposer un "changement d'avis ?" optionnel — mais APRÈS la confirmation, pas pour la conditionner.

Délai d'effet : immédiat ou max 48 h. La CNIL sanctionne tout envoi post-désinscription.

6Audit régulier de la base

Tous les 6 mois minimum :

Purge des inactifs (12+ mois sans ouverture) — règle de courtoisie et de qualité
Vérification que tous les emails ont leur preuve de consentement
Test du lien de désinscription (vérifier qu'il marche)
Mise à jour de la politique de confidentialité si évolution

Ta page d'inscription newsletter est-elle conforme ?

VeriSite scanne ton site et détecte : cases pré-cochées, absence de mentions obligatoires sur les formulaires, politique de confidentialité non liée, trackers chargés avant consentement. Tu sauras en 30 secondes si ta CNIL est en danger.

Lancer un scan gratuit →

5 cas concrets d'amendes 2023-2025

3 000 000 €

Yves Rocher (juillet 2023)

Motif : conservation excessive de données prospects + cookies sans consentement + obstacle à la désinscription (lien caché + 2 clics + page intermédiaire).

Apprentissage : la CNIL sanctionne la combinaison "case unique + désinscription compliquée". Un lien de désinscription invisible en pied de page = aggravant majeur.

3 000 000 €

Voodoo (mars 2024)

Motif : prospection commerciale via emails sur identifiants publicitaires sans consentement. Voodoo (jeux mobiles) envoyait des emails marketing à des utilisateurs ayant juste téléchargé une app gratuite, sans recueil de consentement explicite.

Apprentissage : télécharger une app ≠ consentement à recevoir une newsletter. Il faut une case dédiée newsletter.

2 250 000 €

Carrefour France (juin 2020, confirmé en appel 2024)

Motif : 8 manquements RGPD cumulés dont : conservation excessive, durée de vie de cookies disproportionnée, désinscription newsletter complexe (5 clics + login), absence de réponse aux DSAR.

Apprentissage : la CNIL cumule les sanctions sur les grosses entreprises. Un seul des 8 manquements aurait suffi à déclencher une amende — les 8 cumulés = explosion.

1 100 000 €

IKEA France (sept. 2024)

Motif : utilisation de bases d'emails de partenaires sans vérification du consentement initial. IKEA achetait des bases pour faire de la prospection sur des prospects "qualifiés" — sans pouvoir prouver le consentement.

Apprentissage : les emails achetés ne sont jamais conformes. Toujours collecter soi-même avec double opt-in.

50 000 €

KSPM Édition (PME, mars 2025)

Motif : PME française (édition spécialisée, 20 salariés) qui envoyait sa newsletter à 28 000 contacts récupérés via scraping LinkedIn. Aucun consentement, aucune preuve de soft opt-in.

Apprentissage : la CNIL sanctionne aussi les PME. 50 000 € pour 20 salariés = catastrophe business. Scraper LinkedIn = infraction directe.

Modèles prêts à copier-coller

Modèle 1 — Case à cocher conforme (formulaire d'inscription)

CASE À COCHER — DÉCOCHÉE PAR DÉFAUT

Code HTML :

<label>

  <input type="checkbox" name="newsletter" value="1" required>

  J'accepte de recevoir la newsletter de [Société] (env. 2 emails/mois sur [thème]).

  Je peux me désinscrire à tout moment via le lien dans chaque email.

  <a href="/confidentialite">Voir notre politique de confidentialité</a>.

</label>

Pourquoi : case décochée, mention explicite des données (newsletter), fréquence indiquée, droit de retrait mentionné, lien politique. C'est le standard CNIL.

Modèle 2 — Email de confirmation (double opt-in)

EMAIL DE DOUBLE OPT-IN

Objet : Confirmez votre inscription à la newsletter [Société]

Bonjour,

Vous venez de demander à recevoir la newsletter [Société]. Pour confirmer votre inscription, cliquez sur ce lien :

👉 [Lien unique avec token]

Sans confirmation sous 48 h, votre demande sera annulée automatiquement et aucune donnée ne sera conservée.

Si vous n'avez pas demandé cette inscription, ignorez cet email.

[Société] — [Adresse] — [Contact DPO]

Modèle 3 — Lien de désinscription en pied d'email

FOOTER EMAIL CONFORME

Texte HTML à inclure dans tous les emails :

Vous recevez cet email car vous êtes inscrit à la newsletter [Société].

<a href="https://[lien-désinscription-1-clic]">Se désinscrire en 1 clic</a> | <a href="https://[site]/confidentialite">Politique de confidentialité</a>

[Société] — [Adresse postale complète]

Pourquoi : lien direct (pas de login), texte clair, adresse postale obligatoire (Loi pour la confiance dans l'économie numérique).

Cas pratiques par outil email marketing

Brevo (ex-Sendinblue)

Avantage RGPD : hébergement européen (Berlin/Paris). Double opt-in natif activable en 1 clic. Conservation preuves de consentement incluse. Lien de désinscription auto-injecté. Best choice pour PME française.

Mailchimp

Attention : hébergement USA (sous DPF mais sujet à Schrems III). Double opt-in disponible mais désactivé par défaut — l'activer dans Settings → Audience → Required Fields. Sans activation manuelle = inscription en single opt-in.

Klaviyo

Spécifique e-commerce (Shopify, WooCommerce). Hébergement USA. Double opt-in à activer manuellement par flow. Trackers comportementaux activés par défaut — nécessite consentement cookies séparé.

Mailjet

Origine française (rachetée par Sinch). Hébergement européen. Double opt-in natif. Approche "RGPD-first" affichée. Alternative à Brevo pour les volumes moyens.

FAQ : Newsletter et RGPD en pratique

Le double opt-in est-il obligatoire en France ?

Pas strictement obligatoire mais fortement recommandé par la CNIL. Le single opt-in est légal si tu peux prouver le consentement (formulaire signé, IP, timestamp). En pratique, le double opt-in est la seule façon de prouver le consentement de manière incontestable en cas de contrôle CNIL. Coût : 0 €, gain : amende évitée.

Peut-on envoyer une newsletter à ses clients sans consentement ?

Oui pour des produits ou services analogues à ceux déjà achetés (soft opt-in, art. L34-5 CPCE). Conditions : (1) email collecté à l'occasion de la vente, (2) lien de désinscription dans chaque envoi, (3) client informé au moment de la collecte. Pour des produits différents : consentement explicite obligatoire.

Quelle est l'amende moyenne ?

De 5 000 € pour une PME jusqu'à 3 M€ pour les grands groupes. Exemples 2023-2025 : Yves Rocher 3 M€, Voodoo 3 M€, Carrefour 2,25 M€, IKEA 1,1 M€, KSPM 50 000 €. La CNIL adapte au CA et au nombre de personnes affectées.

La désinscription doit-elle vraiment être en 1 clic ?

Oui. La CNIL exige une désinscription aussi simple que l'inscription. Un lien direct dans chaque email, qui désinscrit en 1 clic, sans demander de mot de passe, ni de motif, ni de "êtes-vous sûr ?". Demander des informations supplémentaires = sanction probable.

Peut-on acheter une base d'emails pour démarrer ?

Non. Les emails achetés ne sont jamais valides RGPD car le consentement n'est pas spécifique à ton entreprise. Sanction immédiate dès la première plainte. Privilégier le lead magnet (contenu gratuit en échange d'un email) avec double opt-in.

Combien de temps conserver une adresse inactive ?

La CNIL recommande de purger les inactifs après 3 ans sans interaction (ouverture, clic, achat). Au-delà, conservation = "conservation excessive" = manquement à la limitation de la durée (art. 5.1.e RGPD). Une purge annuelle est une bonne pratique.

Faut-il un consentement renouvelé chaque année ?

Non, la CNIL n'impose pas de renouvellement annuel. Le consentement reste valide tant que l'inscrit ne se désinscrit pas et reste actif. Toutefois, si tu changes de finalité (ex : ajout d'une newsletter "partenaires"), tu dois recueillir un nouveau consentement spécifique.

Plan d'action si ta newsletter n'est pas conforme

Tu envoies déjà une newsletter et tu doutes de sa conformité ? Voici l'ordre de priorité :

Cette semaine — Audit rapide : ton formulaire d'inscription a-t-il une case décochée + mention claire + lien politique ? Le lien de désinscription est-il en 1 clic ? Sinon, fix immédiat (1 h max).
Ce mois — Activer le double opt-in dans ton outil (Brevo, Mailchimp...). Mettre à jour ta politique de confidentialité avec la section "Newsletter".
Ce trimestre — Audit de ta base existante : combien d'inscrits ont une preuve de consentement ? Purger les inactifs 3 ans+.
Si tu as acheté une base ou scrapé — Soit tu refais une campagne de recueil de consentement (très faible conversion ~5 %), soit tu supprimes la base. La conserver = risque d'amende permanent.

Vérifie ta page d'inscription en 30 secondes

Sans inscription, sans CB : VeriSite scanne ton site et te dit si ton formulaire newsletter, ton bandeau cookies, ta politique de confidentialité, tes trackers tiers sont conformes RGPD. Avant que la CNIL t'envoie un courrier.