惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Cloudbric
Cloudbric
有赞技术团队
有赞技术团队
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
T
Threat Research - Cisco Blogs
L
LangChain Blog
Simon Willison's Weblog
Simon Willison's Weblog
Project Zero
Project Zero
Latest news
Latest news
S
Schneier on Security
Cisco Talos Blog
Cisco Talos Blog
MyScale Blog
MyScale Blog
C
Check Point Blog
IT之家
IT之家
P
Palo Alto Networks Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
C
CERT Recently Published Vulnerability Notes
Scott Helme
Scott Helme
The Hacker News
The Hacker News
C
CXSECURITY Database RSS Feed - CXSecurity.com
G
Google Developers Blog
T
Tor Project blog
T
Threatpost
D
DataBreaches.Net
博客园 - 【当耐特】
酷 壳 – CoolShell
酷 壳 – CoolShell
T
Troy Hunt's Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Vercel News
Vercel News
云风的 BLOG
云风的 BLOG
NISL@THU
NISL@THU
P
Privacy & Cybersecurity Law Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
C
Cisco Blogs
博客园_首页
S
Securelist
T
The Exploit Database - CXSecurity.com
Last Week in AI
Last Week in AI
量子位
U
Unit 42
Know Your Adversary
Know Your Adversary
Hugging Face - Blog
Hugging Face - Blog
S
Security Affairs
Google Online Security Blog
Google Online Security Blog
Hacker News: Ask HN
Hacker News: Ask HN
Webroot Blog
Webroot Blog
S
SegmentFault 最新的问题
Engineering at Meta
Engineering at Meta
N
News and Events Feed by Topic
P
Proofpoint News Feed
阮一峰的网络日志
阮一峰的网络日志

RSS - Actualités CNIL

Revoir le webinaire : Nouveau téléservice santé et recherche, ce qui change pour vos demandes d’autorisation Travail, ressources humaines : le contrôle de l’activité des personnes employées Le CEPD met en lumière l’anonymisation et le moissonnage pour l’IA générative et adopte la version finale des lignes directrices sur la chaîne de blocs Géolocalisation et applications mobiles : quelles règles pour protéger les données des utilisateurs ? Géolocalisation et applications mobiles : comment protéger vos données ? La CNIL a prononcé 23 nouvelles sanctions depuis janvier au titre de la procédure simplifiée Le métier de DPO à l’heure de l’intelligence artificielle : publication des résultats de l’enquête Jeux d’argent et de hasard : appliquer le RGPD aux traitements de données des joueurs Ordre du jour de la séance plénière du 2 juillet 2026 Véhicules connectés : dans quelles conditions vos données de localisation peuvent être utilisées ? Véhicules connectés : la CNIL publie sa recommandation sur l’utilisation des données de localisation Technologies émergentes et protection des mineurs : les autorités de protection des données du G7 s’accordent sur des principes clés Victimes de violations de données : restez vigilants face aux offres d’accompagnement Quatre auteurs reçoivent le deuxième prix CNIL/EHESS pour leur recherche sur la réception du règlement IA par les citoyens européens Informations publiques Remise du prix « Protection de la vie privée » 2026 par la CNIL et l’Inria Élections professionnelles dans la fonction publique et vote électronique : comment transmettre les rapports d’expertise à la CNIL ? Sécurité des données : les règles essentielles pour protéger les données et votre activité Ordre du jour de la séance plénière du 18 juin 2026 Nomination de Jean-Michel FIETIER au poste de directeur administratif et financier de la CNIL Revoir le webinaire - Pixels de suivi dans les courriels : présentation des recommandations de la CNIL Le CEPD rencontre le commissaire européen McGrath et adopte un modèle commun de notification des violations de données Ordre du jour de la séance plénière du 4 juin 2026 Quelles qualifications pour les acteurs de l’informatique en nuage (cloud) ? Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA Ordre du jour de la séance plénière du 28 mai 2026 « IA générative et vie privée » : une affiche coproduite par la PIPC et la CNIL pour sensibiliser les utilisateurs d’IA à la protection de leurs données Cyberattaque : le sous-traitant au centre de la crise Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003 Ordre du jour de la séance plénière du 21 mai 2026 Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025 Confidentialité de l’euro numérique : où en sommes-nous ? Les lunettes connectées : la CNIL appelle à la vigilance Demandes de crédit : comprendre l’utilisation de vos données et vos droits Octroi de crédit : la CNIL publie sa recommandation sur l’utilisation de données personnelles pour l’évaluation de la solvabilité Privacy Research Day : participez à la journée dédiée à la recherche sur la vie privée Les membres et les résultats Médiathèque G7 2026 : la CNIL accueille à Paris la Table ronde des autorités de protection des données et de la vie privée Vue d’ensemble Ordre du jour de la séance plénière du 5 mai 2026 IA conversationnelle et santé mentale des jeunes : résultats de l’enquête européenne Revoir le webinaire - Usages numériques des enfants : comment sensibiliser les parents-salariés ? Commerce de détail : la CNIL approuve le code de conduite porté par l’Alliance du Commerce Le rapport d’activité du DPO : piloter la conformité et valoriser ses actions Vote par correspondance électronique : la CNIL met à jour sa recommandation Lignes directrices pour la recherche scientifique et certification : les derniers documents adoptés par le CEPD Revoir le webinaire - Élections municipales 2026 : quelles sont les nouvelles règles de ciblage électoral ? AIPD : le CEPD lance une consultation publique sur un modèle européen Ordre du jour de la séance plénière du 16 avril 2026 Les sanctions prononcées par la CNIL Pixels de suivi dans les courriers électroniques : vous devez être mieux informés Pixels de suivi dans les courriers électroniques : la CNIL publie ses recommandations pour mieux protéger la vie privée Municipales 2026 : le bilan de l’observatoire des élections de la CNIL Outil PIA : téléchargez et installez le logiciel de la CNIL Accompagnement des professionnels : le programme de travail de la CNIL pour 2026 Les webinaires de la CNIL Désigner un délégué à la protection des données (DPO) ou modifier une désignation Les contrôles en 2026 : recrutement, répertoire électoral unique et fédérations sportives Ordre du jour de la séance plénière du 2 avril 2026 Gestion des ressources humaines : la CNIL publie un référentiel de durées de conservation Revoir le webinaire - Développement d’un système IA, webscraping : comment mobiliser la base légale de l’intérêt légitime ? Données post mortem : publication du cahier air2025 sur l’éthique des traces numériques
Communications par voie électronique aux prospects et clients : quelles règles respecter ?
CNIL · 2026-06-10 · via RSS - Actualités CNIL

Prospection commerciale, messages d’information… les entreprises échangent régulièrement avec leurs prospects et leurs clients. Selon les cas, les personnes doivent soit donner leur accord préalable, soit pouvoir s’opposer facilement.

Comprendre les différents types de communications

Les entreprises peuvent adresser plusieurs types de messages à leurs prospects et à leurs clients afin de développer leur activité et d’assurer le suivi de la relation commerciale. On distingue principalement les communications suivantes :

  • La prospection commerciale correspond à l’envoi de messages destinés à promouvoir, directement ou indirectement, des produits, des services ou l’image d’une entreprise (courriel, SMS, etc.).
     
  • Les communications dites « transactionnelles » qui sont nécessaires à la gestion ou l’exécution d’un contrat ou d’un service demandé par la personne ;
     
  • Les communications dites « relationnelles » adressées aux clients dans le cadre du suivi de la relation commerciale, sans finalité promotionnelle directe, qui accompagnent l’utilisation d’un produit ou d’un service.

Les règles à respecter varient en fonction de la nature des échanges (prospection commerciale, transactionnel, relationnel).

Identifier la nature du message est donc essentiel pour déterminer les obligations applicables.

La prospection commerciale par voie électronique : un principe fondé sur le consentement

La prospection commerciale désigne l’envoi de messages visant à promouvoir, directement ou indirectement, des produits, des services ou l’image d’une entreprise.

L’envoi de prospection commerciale par voie électronique (courriel, SMS, etc.) à des particuliers repose, en principe, sur le recueil préalable du consentement (article L.34-5 du code des postes et des communications électroniques (CPCE)). Concrètement, une entreprise ne peut pas envoyer de messages promotionnels à une personne sans que celle-ci ait accepté, de manière libre, spécifique et éclairée, de les recevoir.

Une exception existe lorsque la personne est déjà cliente et que la prospection concerne des produits ou services similaires à ceux déjà achetés, fournis par la même entreprise. Dans ce cas, la personne doit être informée de cette utilisation et mis en mesure de s’opposer facilement au moment de la collecte et lors de chaque communication.

Exemple 1 : une personne crée un compte gratuit sur un site de presse en ligne lui permettant d’accéder à un nombre limité d’articles. Dans ce cadre, elle reçoit également une lettre d’information. Même en l’absence de paiement direct, cette situation peut, dans certains cas, être assimilée à une relation commerciale. En effet, la gratuité du service constitue, en l'espèce, un levier d’acquisition de clients, financé indirectement par les abonnements payants souscrits par des tiers. Dans ce contexte, l’envoi de la lettre d’information promouvant des contenus ou une offre d’abonnement du même éditeur peut relever de l’exception applicable aux clients existants (pas de consentement préalable), à condition qu’ils aient été informés de cette utilisation et qu’ils puissent s’y opposer facilement, y compris au moment de la collecte de leurs données (CJUE, 13 novembre 2025, Inteligo Media SA contre Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), C- 654/23).

Exemple 2 : une personne crée un compte sur un site de commerce en ligne sans effectuer d’achat. L’entreprise utilise ensuite son adresse électronique pour lui envoyer des offres commerciales. Dans ce cas, l’exception applicable aux clients existants ne peut pas être utilisée. La simple création d’un compte ne suffit pas à caractériser une relation commerciale. Dans ce cas, en l’absence d’achat ou de prestation de service, l’envoi de messages de prospection nécessite donc le consentement préalable de la personne (CNIL, Délibération de la formation restreinte n° SAN-2021-008 du 14 juin 2021).

Exemple 3 : un client achète un billet de train en ligne. L’entreprise peut lui adresser, sans recueillir à nouveau son consentement, des offres portant sur des services similaires, comme des billets pour d’autres trajets, des abonnements de transport ou des options liées au voyage (choix de siège, etc.), à condition qu’il ait été informé de cette utilisation et qu’il puisse s’y opposer facilement y compris au moment de la collecte de ses données.

Exemple 4 : un client réserve une chambre d’hôtel sur le site d’une enseigne hôtelière. L’entreprise utilise ensuite son adresse électronique pour lui envoyer des offres promotionnelles pour des billets d’avion proposés par des partenaires.
Dans ce cas, ces offres ne peuvent pas être considérées comme portant sur des produits ou services similaires à ceux initialement achetés dès lors qu’elles ne sont pas proposées par la même entreprise et qu’elles concernent des offres de partenaires. L’entreprise ne peut donc pas se fonder sur l’exception applicable aux clients existants et doit recueillir le consentement préalable de la personne (CNIL, Délibération de la formation restreinte n° SAN-2022-017 du 3 août 2022).

Une qualification fondée sur la finalité du message

La qualification de prospection commerciale ne dépend pas uniquement du contenu du message, mais avant tout de son objectif. Ainsi, un message peut apparaître informatif tout en relevant de la prospection commerciale s’il vise, en réalité, à inciter la personne à consommer davantage de services, à utiliser plus fréquemment une plateforme ou à souscrire une offre.

Exemple : une entreprise de presse en ligne envoie une lettre d’information présentant des articles d’actualité. Même si son contenu est informatif, cette communication peut être qualifiée de prospection commerciale si elle a pour objectif d’encourager le lecteur à consulter davantage d’articles gratuits, jusqu’à l’amener à s’abonner à une offre payante (CJUE, 13 novembre 2025, Inteligo Media SA contre Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), C- 654/23).

Dans chaque cas, il faut donc s’interroger sur l’objectif du message et sur le fait qu’il soit adressé directement à une personne identifiée.

Un régime spécifique pour la prospection entre professionnels (B to B)

Le consentement préalable n’est pas systématiquement requis pour la prospection B to B si :

  • elle est en lien avec l’activité professionnelle de la personne contactée ;
  • la personne est informée de l’origine de ses données et de la finalité du message ;
  • elle peut s’opposer simplement à la réception de nouvelles sollicitations.

Courriels transactionnels et relationnels : des communications au service de la relation client

Des messages liés au service rendu ou à la relation client

Les communications transactionnelles et relationnelles correspondent aux messages envoyés dans le cadre de la gestion d’une relation avec un client ou un utilisateur :

  • Les communications transactionnelles sont généralement envoyées pour fournir aux utilisateurs des informations importantes concernant un service demandé, leur compte ou leur transaction. Il s’agit, par exemple, de courriels de bienvenue, d’alertes de compte, de notifications liées à des évènements comme l’expédition d’un colis, de confirmations de commandes et factures d’achat, de rappels et réinitialisation de mot de passe, etc.
     
  • Les communications relationnelles adressées aux clients dans le cadre du suivi de la relation commerciale visent à les informer ou à les accompagner dans l’utilisation d’un produit ou d’un service, sans poursuivre de finalité promotionnelle.

Ces messages ont pour objet principal d’informer ou d’accompagner la personne, et non de promouvoir des produits ou des services. Ils ne doivent pas être utilisés pour dissimuler un contenu promotionnel. Si un message comporte une part de contenu commercial (mise en avant d’offres, incitation à l’achat, promotion de services), il peut être requalifié en prospection commerciale et soumis aux règles correspondantes, notamment en matière de consentement.

Exemple 1 : un utilisateur ayant souscrit à une alerte immobilière reçoit des courriels relatifs à des biens similaires ou des sondages anonymes sur des actualités immobilières. Ces messages, dès lors qu’ils découlent directement du service demandé et ne visent pas à promouvoir d’autres offres, peuvent ne pas constituer de la prospection commerciale (CNIL, Délibération de la formation restreinte n° SAN-2024-002 du 31 janvier 2024).

Exemple 2 : une entreprise de services envoie à ses clients des messages ayant pour objet de leur fournir des conseils pratiques pour optimiser l’usage du service, ou encore de les accompagner dans la gestion de leurs paramètres (par exemple, alertes de sécurité, recommandations d’utilisation ou conseils personnalisés). Ces messages, adressés uniquement aux clients, sont dépourvus de toute offre commerciale directe et ont pour seul objectif d’accompagner l’utilisateur dans l’utilisation du service.

Un cadre juridique distinct de la prospection commerciale

Contrairement à la prospection commerciale, ces communications ne reposent généralement pas sur le consentement préalable. Elles sont en principe fondées sur :

  • l’exécution du contrat conclu avec le client (notamment les messages transactionnels) ;
  • l’intérêt légitime de l’entreprise à assurer le suivi de la relation client (messages relationnels), à condition que ces communications restent raisonnables et ne portent pas atteinte à la vie privée des personnes (par exemple : en évitant les messages trop fréquents ou intrusifs).

Toutefois, les personnes doivent :

  • être informées de l’utilisation de leurs données pour ces finalités ;
  • pouvoir s’opposer, lorsque cela est applicable, à certains messages relationnels.

Dans tous les cas

Pour l’ensemble de ces communications, les organismes doivent respecter les exigences du RGPD et de la loi Informatique et Libertés pour garantir la protection des données personnelles.

Informer les personnes

Les personnes doivent être clairement informées de l’utilisation de leurs données personnelles.

Cette information doit être fournie dès la collecte des données et porter notamment sur l’identité de l’entreprise, l’objectif poursuivi, les droits dont elles disposent (droit d’accès, droit de retirer son consentement, , droit à l’effacement, etc.).

Ces informations doivent être présentées de manière accessible et compréhensible.

Faciliter les choix des personnes

Les personnes doivent pouvoir accepter ou refuser facilement de recevoir des communications sauf lorsqu’elles sont nécessaires au contrat. À ce titre :

  • Le consentement préalable ou le droit d’opposition peut être recueilli par le biais d’une case à cocher. Si l’utilisation d’une case pré-cochée est interdite en matière de recueil du consentement, il est également recommandé d’utiliser une case décochée par défaut pour permettre aux personnes de s’opposer.
     
  • Lorsqu’une personne s’oppose à recevoir une communication, cette demande doit être prise en compte durablement pour que le droit d’opposition soit effectif. La CNIL recommande la mise en place d’une liste d’opposition (ou « liste repoussoir ») qui permet d’éviter toute nouvelle sollicitation.

Comment se mettre en conformité ?

Identifier la nature du message (prospection, transactionnel ou relationnel).

S’assurer que les messages transactionnels et relationnels ne contiennent pas de contenu promotionnel significatif.

Déterminer la base juridique applicable (consentement, contrat ou intérêt légitime).

Informer clairement les personnes lors de la collecte des données.

Vérifier que le consentement est valide lorsqu’il est requis.

Prévoir un moyen simple d’opposition ou de désinscription au moment de la collecte des données et dans chaque message lorsqu’il est requis.

Mettre en place et maintenir une liste d’opposition à jour.

Encadrer les prestataires impliqués dans l’envoi des communications.

Garantir la sécurité des données utilisées.

Définir et respecter des durées de conservation adaptées.

Documenter les pratiques (preuves de consentement, procédures internes).