Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 20 avril 2026
Accueil/RGPD/RGPD et email : signatures, prospection, conservation
RGPD

RGPD et email : signatures, prospection, conservation

Signature, prospection, conservation, incident : le guide pratique pour mettre vos emails professionnels en conformité RGPD et éviter les sanctions CNIL.

Par Thiebaut DevergrannePublie le 19 avril 2026Mis a jour le 19 avril 202613 min de lecture
Sommaire
  1. L’adresse email est une donnée personnelle
  2. Prospection commerciale par email : les règles 2026
  3. Signature email : mentions obligatoires et RGPD
  4. Envoi en copie (CC, CCI) : la première cause de violation
  5. Durée de conservation des emails
  6. Sécurité des emails : les mesures attendues
  7. Accès des salariés à leurs emails professionnels
  8. Le CRM et la boîte mail partagée
  9. Ce qu’il faut retenir
  10. FAQ

L’email concentre à lui seul quatre sujets de conformité RGPD : la collecte de données (adresse, nom, fonction), la prospection commerciale, la sécurité des communications et la conservation. C’est aussi l’outil quotidien le plus utilisé — et le plus sanctionné. La CNIL a relevé, rien qu’en 2024, plus de 120 plaintes mensuelles liées à des manquements par email : prospection non sollicitée, mise en copie non masquée, fuite d’adresses, signatures non conformes. Voici comment mettre vos emails professionnels en règle, sans transformer votre messagerie en machine juridique.

L’adresse email est une donnée personnelle

Avant toute chose : l’adresse email professionnelle, même sous la forme prenom.nom@entreprise.fr, est une donnée personnelle au sens de l’Art. 4(1) du RGPD. Elle permet d’identifier directement ou indirectement une personne physique. Ce point a été confirmé par la CNIL à de multiples reprises et par le Conseil d’État (CE, 8 février 2017, n° 393714). L’adresse générique (contact@, info@) n’est en revanche pas, en tant que telle, une donnée personnelle — mais les messages qu’elle reçoit peuvent en contenir.

Conséquence : tout traitement d’adresses email nominatives entre dans le champ du RGPD. Il faut une base légale (Art. 6), une information des personnes (Art. 13), un respect des droits (accès, effacement, opposition), une durée de conservation et des mesures de sécurité. Pour un rappel complet de ce qui constitue une donnée personnelle, voyez notre article Donnée personnelle : définition, exemples et enjeux.

Prospection commerciale par email : les règles 2026

Le principe : opt-in en B2C

Pour toute prospection adressée à un particulier (adresse personnelle type @gmail.com, @orange.fr, etc.), la règle est l’opt-in préalable, posée par l’article L.34-5 du Code des postes et des communications électroniques (transposition de la directive ePrivacy). Aucun email commercial ne peut être envoyé sans le consentement explicite, libre, spécifique et éclairé du destinataire.

L’exception dite « produits ou services analogues » permet de prospecter ses propres clients sans consentement préalable, à condition :

  • que les coordonnées aient été recueillies lors d’une vente ou prestation ;
  • que la prospection porte sur des produits/services de la même catégorie d’usage ;
  • que le destinataire ait été informé de cette possibilité au moment de la collecte ;
  • que chaque email comporte un moyen simple et gratuit de désinscription.

Cette exception est d’interprétation stricte : la CNIL a sanctionné plusieurs entreprises pour l’avoir abusée (délibération SAN-2023-014 notamment). Pour le détail des règles opt-in / opt-out, voyez notre guide dédié à l’opt-in et l’opt-out RGPD.

Le régime B2B : opt-out sous conditions

La prospection vers une adresse professionnelle nominative (pierre.dupont@entreprise.fr) relève de l’opt-out, à trois conditions cumulatives :

  1. le message porte sur un produit ou service en rapport avec la fonction du destinataire ;
  2. l’identité de l’annonceur est clairement visible ;
  3. chaque message propose un moyen simple de désinscription, et la personne a été informée de l’utilisation de son adresse au moment de la collecte.

Les adresses génériques (contact@, info@, rh@) peuvent être prospectées librement, sous réserve de l’obligation de désinscription. Attention : la CNIL contrôle désormais de près les listes achetées ou scrappées sur LinkedIn. Dans mon expérience, un fournisseur incapable de prouver la licéité de la collecte initiale est un risque majeur — et la charge de la preuve pèse sur l’annonceur, pas sur le prestataire.

La base légale : intérêt légitime ou consentement ?

En B2B, la prospection peut s’appuyer sur l’intérêt légitime (Art. 6(1)(f) RGPD), sous réserve de réaliser un test de mise en balance documenté. En B2C, le consentement (Art. 6(1)(a)) est obligatoire : l’intérêt légitime ne peut pas contourner la directive ePrivacy. Meta l’a appris à ses dépens — 390 millions d’euros de sanction par la DPC irlandaise en janvier 2023.

Signature email : mentions obligatoires et RGPD

Ce que la loi impose

La signature email doit permettre d’identifier l’expéditeur et de satisfaire à plusieurs obligations. Aucune disposition n’impose une formulation exacte, mais la combinaison des textes (LCEN, Code de commerce, RGPD) aboutit aux mentions suivantes pour un email professionnel sortant :

  • nom et prénom de l’expéditeur ;
  • fonction et service ;
  • raison sociale, forme juridique et capital social pour une personne morale ;
  • adresse du siège, numéro SIREN/SIRET ;
  • numéro de TVA intracommunautaire si l’entreprise en est dotée ;
  • coordonnées de contact (téléphone, adresse postale) ;
  • le cas échéant, numéro d’inscription au registre des avocats, ordre professionnel, etc.

Pour le RGPD, il est recommandé d’ajouter un pied de page informatif mentionnant la confidentialité du message, l’identité du responsable de traitement, la finalité de la communication et le droit d’accès/opposition. Un modèle de formulation :

Ce message et ses pièces jointes peuvent contenir des informations confidentielles. Si vous n’êtes pas le destinataire prévu, merci de nous en informer et de les supprimer. Les données personnelles échangées sont traitées par [Société] en qualité de responsable de traitement, pour la finalité de [relation commerciale / service]. Conformément au RGPD, vous disposez d’un droit d’accès, de rectification, d’opposition et d’effacement, à exercer auprès de dpo@societe.fr.

Les erreurs fréquentes

Trois pratiques classiques exposent à une sanction :

  • mention « RGPD » sans contenu informatif réel (« Cet email est conforme RGPD ») — juridiquement nul et trompeur ;
  • lien de désinscription inactif dans les signatures automatiques sur campagnes marketing ;
  • logo ou image distante chargée depuis un serveur tiers sans information, entraînant tracking du destinataire (pixel espion). La CNIL a sanctionné cette pratique dans plusieurs délibérations récentes.

Envoi en copie (CC, CCI) : la première cause de violation

La violation de données la plus fréquente par email n’est pas le piratage : c’est l’envoi en copie visible (CC) à une liste de destinataires qui ne se connaissent pas, alors qu’il aurait fallu utiliser la copie cachée (CCI).

Chaque adresse en CC est révélée à tous les destinataires. Si la liste contient des données sensibles par déduction (clients d’un avocat pénaliste, patients d’un médecin, membres d’une association politique), il peut s’agir d’une violation à notifier sous 72 heures à la CNIL (Art. 33 RGPD) et, si le risque est élevé, aux personnes concernées (Art. 34). La CNIL a prononcé plusieurs sanctions sur ce motif : 15 000 € contre une mairie (SAN-2022-005), 50 000 € contre un cabinet de recouvrement en 2023.

Mesures de prévention à mettre en place :

  • configurer l’outil email pour imposer la CCI sur les envois groupés externes ;
  • alerter les utilisateurs par un message visuel lorsqu’un envoi dépasse un seuil (ex. 20 destinataires) ;
  • utiliser un outil d’envoi dédié (newsletter, CRM) pour toute liste supérieure à 50 destinataires ;
  • former les collaborateurs : dans mon expérience, 80 % des violations de ce type viennent d’erreurs humaines évitables par une sensibilisation de 30 minutes.

En cas d’incident, la procédure est détaillée dans notre guide sur la notification de violation de données à la CNIL.

Durée de conservation des emails

Le principe de minimisation

L’Art. 5(1)(e) RGPD impose une durée de conservation limitée au strict nécessaire. Les emails professionnels ne font pas exception. Or la pratique courante — conservation illimitée sur les serveurs, archives personnelles sans purge — est frontalement non conforme.

La CNIL recommande les durées suivantes :

  • messagerie active (boîte de réception / envoyée) : 6 à 12 mois glissants pour un email sans lien avec un dossier structuré ;
  • archives liées à une relation commerciale : durée de la relation + 5 ans (prescription commerciale) ou 10 ans pour les pièces comptables ;
  • archives RH : selon le document (contrat, paie, évaluation) — voir notre guide RGPD et ressources humaines ;
  • prospection non convertie : 3 ans maximum après le dernier contact ;
  • emails de candidats non retenus : 2 ans après le dernier contact, sauf opposition.

Mise en œuvre pratique

La politique de conservation doit être formalisée dans le registre des traitements et appliquée par paramétrage technique. Les solutions possibles :

  • règles de purge automatique côté serveur (Exchange, Google Workspace) ;
  • archivage à valeur probante externe pour les emails liés à des contrats ;
  • suppression programmée des emails de prospection non convertis ;
  • politique claire sur les sauvegardes : une sauvegarde trop longue remet en cause toute la durée de conservation.

Attention : la sauvegarde technique prolongée n’exempte pas du principe de minimisation. Si vous conservez des emails en backup pendant 7 ans « par sécurité » alors que la durée de conservation active est de 3 ans, c’est la durée la plus longue que la CNIL vous opposera en cas de contrôle.

Sécurité des emails : les mesures attendues

L’Art. 32 RGPD impose des mesures techniques et organisationnelles appropriées au risque. Pour les emails, les pratiques minimales attendues par la CNIL en 2026 sont :

  • TLS en transit systématiquement activé (protocole SMTP sécurisé) ;
  • chiffrement du contenu (S/MIME, PGP, ou plateforme tierce type TLS-End-to-End) pour les échanges sensibles, notamment santé, avocat-client, données bancaires ;
  • authentification forte sur les boîtes mail (MFA obligatoire pour les comptes à privilèges — voyez notre guide sur l’authentification forte MFA) ;
  • anti-phishing et SPF/DKIM/DMARC correctement configurés ;
  • politique de mots de passe robuste ;
  • charte informatique rappelant les bons usages (pièces jointes, partage externe, réseaux Wi-Fi).

Pour les données particulières (santé, données de paiement, données sensibles), la CNIL recommande explicitement le chiffrement de bout en bout. Un email en clair envoyé à la mauvaise personne avec un bilan médical constitue une violation grave quasiment systématiquement notifiable.

Accès des salariés à leurs emails professionnels

Le droit d’accès du salarié et de l’employeur

Les emails professionnels échangés depuis la boîte mail de l’entreprise sont, par principe, considérés comme professionnels — l’employeur peut y accéder sans autorisation du salarié (Cass. soc. 18 oct. 2006, n° 04-48025). Exception : les messages clairement identifiés comme « personnel » ou « privé » ne peuvent être consultés qu’en présence du salarié ou après l’en avoir dûment informé, ou en cas de risque particulier pour l’entreprise (Cass. soc. 2 oct. 2001, Nikon).

Côté RGPD, le salarié dispose d’un droit d’accès à ses propres données (Art. 15). En pratique, cela vise le contenu des messages dans lesquels il apparaît comme donnée personnelle, pas l’intégralité des échanges professionnels d’un tiers. La jurisprudence de la CJUE (C-141/12, Y.S.) et du Conseil d’État (CE, 8 février 2017) a cadré précisément ce point : le droit d’accès ne transforme pas le RGPD en outil d’accès au dossier interne.

Départ du salarié : effacement et redirection

Lorsqu’un salarié quitte l’entreprise, la CNIL recommande :

  • une redirection automatique des emails pendant 1 à 3 mois maximum, avec message d’absence informant l’expéditeur ;
  • une suppression de la boîte dans un délai raisonnable (3 à 6 mois selon les fonctions) ;
  • une conservation ciblée des emails strictement nécessaires à la relation commerciale, transférés vers un dossier dédié.

Conserver la boîte mail d’un ancien salarié indéfiniment « au cas où » est une pratique non conforme. Plusieurs entreprises ont été sanctionnées sur ce motif (mise en demeure publique de la CNIL du 10 avril 2025 contre un cabinet de conseil).

Le CRM et la boîte mail partagée

Si votre équipe commerciale synchronise sa boîte mail avec un CRM (Salesforce, HubSpot, Pipedrive, etc.), vous entrez dans une problématique de RGPD et CRM à part entière : tous les emails entrants et sortants deviennent potentiellement indexés et accessibles à plusieurs utilisateurs. Les points de vigilance :

  • information claire des prospects et clients de cette remontée dans l’outil ;
  • gestion fine des habilitations (tout le monde ne voit pas tout) ;
  • durée de conservation cohérente entre le CRM et la messagerie ;
  • contrat de sous-traitance (Art. 28) avec l’éditeur du CRM, incluant une annexe sur les transferts hors UE ;
  • suppression effective en cas de demande d’effacement — et non simple masquage.

Ce qu’il faut retenir

  • L’adresse email professionnelle nominative est une donnée personnelle soumise au RGPD dans son intégralité.
  • Prospection B2C par email : opt-in obligatoire ; prospection B2B nominative : opt-out sous conditions ; adresses génériques : prospection libre avec désinscription.
  • Signature email : mentions légales obligatoires + mention confidentialité/RGPD conseillée ; attention aux pixels de tracking.
  • CC/CCI : la première cause de violation de données — imposer la CCI sur les envois groupés externes.
  • Durée de conservation : 6 à 12 mois pour la messagerie active, 3 ans pour la prospection non convertie, aligner sauvegardes et politique.
  • Sécurité : TLS, MFA, SPF/DKIM/DMARC, chiffrement pour les données sensibles.
  • Départ salarié : redirection 1 à 3 mois, suppression dans les 6 mois, conservation ciblée.

FAQ

Puis-je envoyer un email marketing à une adresse contact@ sans consentement ?

Oui, les adresses génériques (non rattachées à une personne physique identifiable) peuvent être prospectées sans consentement préalable, à condition que l’email propose un moyen simple de désinscription et que le contenu soit en rapport avec l’activité professionnelle du destinataire. La LCEN et la CNIL confirment cette position, mais la limite est ténue : une adresse du type prenom@petite-entreprise.fr peut être requalifiée en adresse nominative.

Un email envoyé par erreur à une mauvaise personne est-il une violation RGPD ?

Oui, toute divulgation non autorisée de données personnelles constitue une violation au sens de l’Art. 4(12) RGPD. La question est de savoir si elle doit être notifiée à la CNIL : le critère est le risque pour les droits et libertés des personnes concernées. Un email contenant une information bénigne envoyé à un destinataire fiable (collaborateur interne sensibilisé) peut ne pas nécessiter de notification ; un bulletin de paie envoyé à un client externe, si.

Dois-je chiffrer tous mes emails professionnels ?

Non, l’obligation est proportionnée au risque (Art. 32 RGPD). Le chiffrement TLS en transit est désormais un minimum attendu. Le chiffrement du contenu (S/MIME, PGP, solution tierce) est requis pour les échanges de données sensibles (santé, données bancaires, avocat-client, enquêtes internes). Pour les échanges internes courants, une politique de sécurité globale (MFA, anti-phishing, sensibilisation) peut suffire.

Puis-je conserver les emails d’un ancien salarié pour récupérer des informations business ?

Non, pas sans limite. La CNIL admet une conservation ciblée et courte (quelques mois) avec redirection automatique vers un successeur, et un transfert des emails strictement nécessaires à la relation commerciale dans un dossier dédié. Conserver la boîte indéfiniment « au cas où » est disproportionné et sanctionnable. Anticipez ce point dans la charte informatique et dans la procédure de départ.

La mention « Cet email est confidentiel » a-t-elle une valeur juridique ?

Elle a une valeur probatoire limitée : elle peut démontrer la volonté de l’expéditeur de préserver la confidentialité, utile en cas de contentieux. Mais elle n’engage pas le destinataire non prévu si aucun accord préalable ne le liait à l’expéditeur. En pratique, cette mention ne remplace ni le chiffrement, ni les mesures techniques appropriées, ni la vigilance au moment de l’envoi.

Thiebaut Devergranne est docteur en droit (Paris II, 2007) et conseille depuis plus de 20 ans les entreprises françaises sur leur conformité RGPD. Pour recevoir chaque semaine nos analyses conformité et décisions CNIL commentées, abonnez-vous à la newsletter.

Articles lies

RGPD

Microsoft Teams et RGPD : guide de conformité 2026

20 avril 2026 · 12 min
RGPD

RGPD et agence immobilière : guide pratique du mandataire

19 avril 2026 · 16 min
RGPD

RGPD et expert-comptable : guide pratique du cabinet

18 avril 2026 · 14 min