RGPD

Comment créer une newsletter conforme RGPD en France (guide complet 2026)

20 mai 2026 · 8 min de lecture · Par l'équipe Letterflow

Envoyer une newsletter en France sans respecter le RGPD, c'est risquer une amende CNIL pouvant atteindre 20 millions d'euros ou 4% de votre chiffre d'affaires mondial. Dans la pratique, les sanctions touchent surtout les manquements répétés ou les violations massives, mais même un particulier ou une TPE peut recevoir une mise en demeure.

La bonne nouvelle : respecter le RGPD pour une newsletter est simple si vous utilisez les bons outils. Ce guide vous explique les 5 règles fondamentales, sans jargon juridique.

1. Le double opt-in : obligatoire en pratique

Le RGPD exige un consentement libre, spécifique, éclairé et univoque. Pour une newsletter, ça signifie que votre abonné doit activementconfirmer qu'il veut recevoir vos emails, pas juste cocher une case pré-cochée.

Le double opt-in (inscription + email de confirmation à cliquer) est la meilleure preuve de ce consentement. Techniquement, la CNIL n'exige pas le double opt-in dans tous les cas, mais en pratique il est fortement recommandé car il vous fournit une preuve datée et traçable.

✅ Ce que fait Letterflow: le double opt-in est activé automatiquement. Chaque consentement est enregistré en base de données avec l'horodatage, l'adresse IP et la source d'inscription. Preuve irréfutable en cas de contrôle.

2. Le consentement doit être tracé et conservé

Il ne suffit pas d'avoir le consentement, vous devez pouvoir prouver que vous l'avez obtenu. La CNIL peut demander, lors d'une inspection, la preuve du consentement de chaque abonné : date, heure, source, formulation exacte du consentement.

Conservez la date et l'heure d'inscription
Enregistrez l'adresse IP au moment de l'inscription
Archivez la version exacte du formulaire et de la mention de consentement
Conservez ces données pendant la durée de la relation + 3 ans après désinscription

3. L'hébergement des données doit rester en Europe

Depuis l'invalidation du Privacy Shield en 2020 et les recommandations CNIL post-Schrems II, transférer des données personnelles vers les États-Unis est juridiquement risqué. Les données de vos abonnés, emails, prénoms, comportements, ne doivent pas quitter l'Union européenne sans garanties suffisantes.

⚠️ Attention aux outils américains: Mailchimp (Intuit), Constant Contact, ActiveCampaign sont soumis au Cloud Act américain. Même s'ils ont des serveurs en Europe, les autorités américaines peuvent légalement accéder à vos données.

Letterflow héberge toutes ses données en France, sur l'infrastructure Supabase EU (région Europe) et OVH Roubaix. Aucune donnée ne sort de l'Union européenne.

4. Le droit de désinscription doit être simple et immédiat

Chaque email doit contenir un lien de désinscription fonctionnel. La désinscription doit être effective immédiatement: pas dans 48h, pas "après traitement". L'abonné qui se désinscrit ne doit plus recevoir d'emails commerciaux de votre part.

Lien de désinscription en bas de chaque email
Page de désinscription sans friction (pas de confirmation par email)
Désinscription prise en compte immédiatement
Conservation de l'email en liste de suppression (pour ne pas le réinscrire par erreur)

5. Le DPA (Data Processing Agreement) pour les B2B

Si vous collectez des données pour le compte d'une autre entreprise, ou si vous utilisez un outil tiers pour envoyer vos newsletters, vous devez avoir un Data Processing Agreement (accord de sous-traitance des données) avec cet outil.

Ce document définit les responsabilités de chacun, les mesures de sécurité en place, et les procédures en cas de violation de données. Letterflow propose un DPA téléchargeable depuis le tableau de bord pour les clients professionnels.

Checklist RGPD pour votre newsletter

☑️ Double opt-in activé sur tous vos formulaires d'inscription
☑️ Consentement tracé en base de données (date, IP, source)
☑️ Données hébergées en Europe (pas aux USA)
☑️ Lien de désinscription dans chaque email
☑️ Page de désinscription fonctionnelle et immédiate
☑️ Politique de confidentialité à jour et accessible
☑️ DPA signé avec votre outil d'emailing
☑️ Procédure de réponse aux demandes d'accès/suppression (<30 jours)

Conclusion : choisir le bon outil pour être conforme sans effort

La conformité RGPD ne doit pas être une contrainte, elle doit être intégrée dans l'outil que vous utilisez. Letterflow active le double opt-in automatiquement, trace chaque consentement, héberge tout en France, et inclut un lien de désinscription dans chaque email.

Vous n'avez rien à configurer. C'est déjà fait, et c'est documenté.

Lancez votre newsletter conforme RGPD

30 jours d'essai gratuit · Tout est configuré automatiquement

Commencer gratuitement →

← Tous les articles · Alternative à Mailchimp · Améliorer son taux d'ouverture →