Commerce Digital

Conformité des campagnes marketing SMS et email : les règles

| 10 min de lecture
Conformité des campagnes marketing SMS et email : les règles

La conformité des campagnes SMS et email repose sur trois exigences universelles : un consentement valide, une preuve de ce consentement et une désinscription simple. Les règles varient ensuite selon le pays visé, RGPD en Europe, CAN-SPAM et TCPA aux États-Unis, CASL au Canada. Ignorer ces cadres expose à des amendes lourdes et abîme la délivrabilité.

Le consentement, socle de toute campagne SMS et email

Aucune campagne marketing sérieuse ne démarre sans une base de contacts propre. Le consentement en est la fondation juridique, quelle que soit la juridiction. Sa forme et sa preuve changent, mais l’exigence de fond reste constante : le destinataire doit avoir accepté de recevoir vos messages.

Opt-in, opt-out : ce que la loi française impose

En France, la loi pour la confiance dans l’économie numérique, dite LCEN n°2004-575 du 21 juin 2004, interdit la prospection par email ou SMS sans accord préalable du destinataire. Ce principe d’opt-in connaît deux nuances selon la cible.

  • En B2C, l’accord explicite est obligatoire avant tout envoi. Une case à cocher non pré-remplie, une inscription volontaire à une newsletter, un formulaire clair.
  • En B2B, l’opt-out est toléré : vous pouvez écrire à un professionnel sur son adresse nominative si le message concerne sa fonction, à condition de proposer un moyen de refus immédiat.
  • Le SMS marketing reste soumis à l’opt-in dans presque tous les cas, la CNIL étant particulièrement stricte sur ce canal intrusif.

L’exception client mérite d’être connue : vous pouvez solliciter un client existant pour un produit analogue à celui qu’il a déjà acheté, sans nouveau consentement, tant que la désinscription reste possible à chaque envoi. Cette tolérance a des limites strictes. Le produit proposé doit rester dans le même univers que l’achat initial, et la coordonnée doit avoir été collectée au moment d’une transaction, pas d’un simple contact commercial. Un client ayant acheté un logiciel de comptabilité peut recevoir une offre sur un module complémentaire, pas une promotion sans lien avec son achat.

La preuve du consentement, votre meilleure défense

Recueillir un accord ne suffit pas. En cas de contrôle, vous devez le prouver. Le double opt-in, où le destinataire confirme son inscription via un lien reçu par email, constitue la preuve la plus solide reconnue par la pratique CNIL.

Conservez pour chaque contact la date, l’heure, la source du consentement et le texte exact de la mention acceptée. Un tableur ne suffit plus quand les volumes grimpent : la traçabilité doit être native dans votre système d’envoi. Les entreprises qui structurent leur transition vers le e-commerce B2B intègrent cette traçabilité dès la conception de leur base clients.

Bureau marketing avec un ordinateur affichant un formulaire d’inscription et une case de consentement

Choisir des outils qui intègrent la conformité par défaut

La conformité ne se joue pas seulement dans vos process : elle dépend aussi de la plateforme d’envoi. Un outil bien conçu gère nativement l’opt-in, l’opt-out et l’horodatage du consentement, là où une solution artisanale vous laisse porter seul le risque juridique.

Les critères techniques qui font la différence :

  • Gestion automatique des désinscriptions, avec liste de suppression centralisée.
  • Horodatage et archivage de chaque consentement recueilli.
  • Certification de sécurité reconnue, la norme ISO 27001 attestant d’une gestion rigoureuse des données.
  • Hébergement des données conforme au RGPD, idéalement dans l’Union européenne.

Des plateformes françaises comme Octopush.com illustrent cette approche : multicanale (SMS, email, RCS, SMS vocal), certifiée ISO 27001 et conforme au RGPD, avec une gestion intégrée de l’opt-in et de l’opt-out. Fondée en 2012 à Marseille et présente dans plus de 200 pays, ce type de solution externalise une partie de la charge de conformité vers un prestataire dont c’est le métier. L’enjeu dépasse le confort : une plateforme qui purge automatiquement les contacts désinscrits protège votre réputation d’expéditeur et vous évite d’écrire à une personne qui a dit stop.

Attention toutefois : aucun outil ne vous dédouane de vos obligations. La responsabilité du traitement reste la vôtre en tant que donneur d’ordre. Un bon prestataire réduit le risque, il ne l’efface pas.

RGPD : le cadre européen qui structure email et SMS

Le règlement général sur la protection des données irrigue toute campagne visant un résident de l’Union européenne. Il ne remplace pas la LCEN, il la complète en encadrant la façon dont vous collectez, stockez et exploitez les coordonnées.

Minimisation et durée de conservation

Le RGPD impose de ne collecter que les données nécessaires à votre finalité. Un formulaire d’inscription à une newsletter n’a pas besoin de la date de naissance ni de l’adresse postale.

Côté durée, la CNIL recommande une conservation maximale de trois ans à compter du dernier contact actif du destinataire, un achat, un clic ou une ouverture. Passé ce délai sans réaction, les données doivent être supprimées ou anonymisées. Cette règle protège autant le destinataire que vous : une base vieillie génère des plaintes et dégrade la délivrabilité.

Les droits des destinataires

Chaque personne inscrite dispose de droits que vous devez pouvoir honorer rapidement :

  • Droit d’accès : savoir quelles données vous détenez à son sujet.
  • Droit d’opposition : refuser la prospection à tout moment, sans justification.
  • Droit de désinscription : chaque email et chaque SMS doit contenir un moyen de refus simple et gratuit.
  • Droit à l’effacement : obtenir la suppression de ses données.

En pratique, un lien de désabonnement en bas d’email et la mention STOP en fin de SMS répondent au minimum légal. La désinscription doit être traitée sans délai, pas au prochain nettoyage trimestriel.

Sanctions : jusqu’à 20 millions d’euros

Le RGPD prévoit des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. La prospection non consentie figure parmi les manquements les plus sanctionnés par la CNIL, aux côtés des défauts de sécurité. Ces montants ne visent pas que les géants : une PME qui achète un fichier et l’exploite sans base légale s’expose à une sanction proportionnée mais réelle.

Écran de tableau de bord montrant des indicateurs de conformité et de protection des données

Franchir les frontières : les règles changent de pays en pays

L’expression « lois locales » prend tout son sens dès qu’une campagne dépasse les frontières européennes. Le consentement conforme au RGPD ne vaut pas laissez-passer mondial. Deux marchés majeurs, les États-Unis et le Canada, imposent leurs propres régimes, parfois plus stricts.

CAN-SPAM et TCPA aux États-Unis

Les États-Unis distinguent l’email du SMS. Pour l’email, la loi CAN-SPAM adopte une logique d’opt-out : vous pouvez écrire sans accord préalable, mais sous conditions fermes.

  • En-têtes et objets non trompeurs, identifiant clairement l’expéditeur.
  • Identification du message comme publicité.
  • Adresse postale physique valide dans chaque envoi.
  • Traitement de la désinscription sous dix jours ouvrables.

Chaque email non conforme expose à une pénalité pouvant atteindre 53 088 dollars, montant relevé par la Federal Trade Commission au 17 janvier 2025, sans plafond global. En 2024, la FTC a obtenu 2,95 millions de dollars contre l’entreprise Verkada, sa plus lourde sanction CAN-SPAM à ce jour.

Le SMS relève d’un texte plus dur, le TCPA, qui exige un consentement écrit préalable avant tout message marketing. Les dommages statutaires vont de 500 dollars par message à 1 500 dollars en cas de violation délibérée, selon la FCC, sans plafond. Une campagne mal cadrée se chiffre vite en millions.

CASL au Canada, l’un des régimes les plus stricts

Le Canada applique la loi anti-pourriel CASL, réputée parmi les plus sévères au monde. Elle repose sur trois piliers pour tout message électronique commercial :

  • Un consentement exprès ou tacite obtenu avant l’envoi.
  • Une identification claire de l’expéditeur, avec des coordonnées valides pendant au moins soixante jours.
  • Un mécanisme de désinscription gratuit, honoré sous dix jours ouvrables.

Les sanctions atteignent 10 millions de dollars canadiens par violation pour une entreprise, et un million pour un individu, selon le Conseil de la radiodiffusion et des télécommunications canadiennes. Point notable : un consentement exprès CASL n’expire pas tant que la personne ne se désinscrit pas.

Ce comparatif résume les trois régimes pour une base multicanale :

CritèreEurope (RGPD/LCEN)États-Unis (CAN-SPAM/TCPA)Canada (CASL)
EmailOpt-in (B2C), opt-out toléré B2BOpt-out, avec conditions strictesConsentement exprès ou tacite
SMSOpt-in quasi systématiqueConsentement écrit (TCPA)Consentement exprès
Sanction plafond20 M€ ou 4 % du CA mondial53 088 $ par email ; 500 à 1 500 $ par SMS10 M$ CAD par violation
DésinscriptionImmédiate, gratuiteSous 10 jours ouvrablesSous 10 jours ouvrables

Carte du monde stylisée sur un écran avec des segments de contacts par région

La délivrabilité, revers technique de la conformité

Respecter la loi ne garantit pas que vos messages arrivent. Les fournisseurs de messagerie appliquent leurs propres exigences, souvent alignées sur les bonnes pratiques de conformité. Un envoi propre juridiquement mais négligé techniquement finit en spam.

Authentification et réputation d’expéditeur

Depuis février 2024, Google et Yahoo imposent aux expéditeurs de masse, au-delà de 5 000 messages quotidiens, un socle technique précis :

  • Authentification par SPF, DKIM et DMARC correctement alignés.
  • Taux de plainte pour spam maintenu sous 0,3 %, seuil au-delà duquel la délivrabilité s’effondre.
  • Désinscription en un clic via l’en-tête list-unsubscribe.

Ces règles, publiées par Google et Yahoo, transforment la conformité en avantage concurrentiel : une base consentie et régulièrement nettoyée génère peu de plaintes, donc une meilleure réputation, donc de meilleurs taux d’ouverture. La rigueur juridique et la performance marketing pointent dans la même direction.

Le réflexe désinscription et le signalement

Côté SMS français, le service 33700 permet à tout destinataire de signaler un message indésirable en le transférant gratuitement. Un volume de signalements élevé alerte les opérateurs et menace votre routage. La mention STOP obligatoire n’est donc pas qu’une formalité légale : c’est une soupape qui protège votre réputation d’expéditeur avant qu’un contact excédé ne saisisse le 33700 ou la CNIL. Piloter sereinement ces canaux fait partie de la digitalisation d’une entreprise et de ses coûts.

Main tenant un smartphone affichant un message avec une option de désinscription en bas

Les erreurs qui coûtent le plus cher

Certaines fautes reviennent avec constance et se paient au prix fort, en amendes comme en réputation.

  • Acheter un fichier de contacts. Aucune base achetée ne porte un consentement valable à votre nom. Le risque juridique est direct et la qualité des adresses désastreuse.
  • Ignorer la désinscription. Continuer d’écrire à qui a dit stop est le manquement le plus visible et le plus facilement prouvable contre vous.
  • Appliquer une règle unique à l’international. Traiter un contact québécois comme un prospect français ignore la loi CASL et son plafond de 10 millions de dollars.
  • Confondre B2B et blanc-seing. Le régime B2B allège l’opt-in email, pas les SMS ni le devoir d’information.
  • Négliger la preuve. Un consentement non documenté équivaut, en contrôle, à une absence de consentement.

Ces pièges ne relèvent pas de la malveillance mais du raccourci. Une base propre, segmentée par pays et régulièrement purgée, les neutralise presque tous. La conformité n’est pas une contrainte ajoutée après coup, elle se conçoit dans l’architecture même de votre stratégie, au même titre que la transformation numérique de l’entreprise.

Construire un processus de conformité durable

La conformité n’est pas un audit ponctuel mais une routine. Les campagnes changent, les lois évoluent, les bases vieillissent. Un dispositif tenable repose sur quelques réflexes ancrés dans le quotidien.

  • Recueillir chaque consentement en double opt-in et l’archiver avec sa source.
  • Segmenter la base par juridiction : Europe, États-Unis, Canada, autres.
  • Purger les contacts inactifs au-delà de trois ans.
  • Traiter chaque désinscription sans délai, sur tous les canaux.
  • Vérifier l’authentification technique SPF, DKIM et DMARC à chaque changement de routeur.

Prochaine étape : auditez votre base actuelle en isolant les contacts sans preuve de consentement traçable et les inactifs de plus de trois ans. Ce sont eux qui génèrent les plaintes et les risques. Un tri rigoureux, mené une fois, sécurise durablement vos campagnes SMS et email sur chaque marché visé.