Tu envoies une newsletter ? Voici les règles RGPD à respecter en droit belge

Écrit par Reymarkpol Goyone

Envoyer une newsletter à des adresses collectées sur ton site ou tes réseaux est un traitement de données à caractère personnel soumis au RGPD et au Code de droit économique belge. Concrètement, tu dois recueillir un consentement préalable libre, spécifique et éclairé, informer la personne au moment de la collecte, inclure un lien de désinscription fonctionnel dans chaque envoi et conserver une preuve des consentements. Le non-respect de ces règles expose à des sanctions de l'Autorité de protection des données.

Envoyer une newsletter, c'est traiter des données à caractère personnel

Tu collectes des adresses électroniques via un formulaire sur ton site, une popup ou un lien en bio sur tes réseaux. Tu envoies ensuite une newsletter régulière à cette liste. Cette opération, qui paraît anodine, constitue juridiquement un traitement de données à caractère personnel. Une adresse électronique qui permet d'identifier une personne est une donnée à caractère personnel au sens du RGPD.

Cela signifie que les règles du Règlement (UE) 2016/679 (RGPD) s'appliquent, ainsi que celles du Code de droit économique belge en matière de publicité par courrier électronique. Ce n'est pas une simple formalité administrative. C'est un cadre contraignant, dont le respect conditionne la légalité de ton activité de communication.

Règle 1 : le consentement préalable est obligatoire

La première règle est le consentement préalable de la personne. En droit belge, l'utilisation du courrier électronique à des fins de publicité est interdite sans l'accord préalable du destinataire. Ce principe, appelé opt-in, figure à l'article XII.13 du Code de droit économique et se combine avec l'exigence de consentement de l'article 6 du RGPD.

Ce consentement doit être libre, spécifique et éclairé. Concrètement, cela exclut les cases pré-cochées, les inscriptions automatiques et les formulations ambiguës. La personne doit poser un acte positif et clair pour s'inscrire, en sachant exactement à quoi elle consent. La charge de la preuve du consentement pèse sur toi en tant qu'entreprise, pas sur la personne inscrite.

Règle 2 : le double opt-in, la meilleure preuve de consentement

Le double opt-in est une bonne pratique fortement recommandée. Le principe est simple : après s'être inscrite via ton formulaire, la personne reçoit un courrier électronique de confirmation et doit cliquer sur un lien pour valider son inscription. Tant que cette confirmation n'a pas eu lieu, l'adresse n'est pas ajoutée à ta liste active.

Ce mécanisme présente deux avantages. Il garantit que l'adresse appartient réellement à la personne qui s'inscrit, ce qui évite les inscriptions abusives par des tiers. Et surtout, il te fournit une preuve solide et horodatée du consentement, exactement le type d'élément que l'Autorité de protection des données attend en cas de contrôle.

Règle 3 : un lien de désinscription dans chaque envoi

Chaque newsletter que tu envoies doit contenir un lien de désinscription fonctionnel. La personne doit pouvoir se désinscrire à tout moment, de manière simple et gratuite, sans avoir à justifier sa décision et sans obstacle technique. Un lien qui ne fonctionne pas, qui renvoie vers un formulaire complexe ou qui demande de se reconnecter à un compte n'est pas conforme.

La désinscription doit être traitée rapidement. Une fois qu'une personne s'est désinscrite, tu ne peux plus lui envoyer de communication, sauf nouveau consentement de sa part. Conserver une adresse désinscrite sur ta liste active est une infraction.

Règle 4 : informer la personne au moment de la collecte

Au moment où tu collectes l'adresse, tu dois fournir à la personne une information claire, conformément à l'article 13 du RGPD. Cette information porte notamment sur l'identité du responsable du traitement, c'est-à-dire toi ou ton entreprise, sur la finalité de la collecte, c'est-à-dire l'envoi de la newsletter, sur la durée de conservation des données, et sur les droits dont la personne dispose.

Ces droits incluent le droit d'accès à ses données, le droit de rectification, le droit à l'effacement, le droit d'opposition et le droit de retirer son consentement à tout moment. En pratique, cette information se matérialise par une politique de confidentialité accessible et par une mention claire à proximité du formulaire d'inscription.

Règle 5 : tenir un registre des consentements et respecter la finalité

Tu dois pouvoir démontrer, pour chaque personne inscrite, qui a consenti, quand, comment et à quoi exactement. C'est le principe de responsabilité, ou accountability, au cœur du RGPD. Un registre des consentements à jour, ou un système d'emailing qui horodate et conserve ces informations, est la façon la plus simple de répondre à cette exigence.

Enfin, tu dois respecter la finalité pour laquelle les adresses ont été collectées. Les adresses recueillies pour l'envoi d'une newsletter ne peuvent pas être utilisées à d'autres fins, comme la vente à des tiers ou la publicité ciblée pour des produits sans rapport, sans recueillir un consentement supplémentaire spécifique à ces nouvelles finalités.

Le cas particulier des clients existants

Une nuance mérite d'être connue. Le droit prévoit une exception, appelée soft opt-in, qui permet sous conditions d'adresser des communications à des clients existants pour des produits ou services similaires à ceux qu'ils ont déjà obtenus, à condition que ces personnes aient eu la possibilité de s'opposer dès la collecte et dans chaque envoi. La portée de cette exception a été précisée par un arrêt de la Cour de justice de l'Union européenne du 13 novembre 2025, qui en a retenu une interprétation plutôt large. L'Autorité de protection des données belge a toutefois adopté ces dernières années une lecture stricte du marketing direct, et l'articulation entre la position européenne et la pratique belge reste mouvante. Si une partie de ton activité repose sur l'envoi de communications à une clientèle déjà existante, il est utile de faire analyser ta situation précise, car le régime applicable diffère de celui de la prospection de nouveaux contacts et évolue actuellement.

Questions fréquentes

Puis-je ajouter à ma newsletter les contacts professionnels rencontrés à un événement ?

Pas automatiquement. Le fait d'avoir échangé une carte de visite ou rencontré quelqu'un ne vaut pas consentement à recevoir une newsletter. Le principe du consentement préalable s'applique. Le bon réflexe est d'inviter la personne à s'inscrire elle-même, plutôt que de l'ajouter sans son accord explicite.

Que se passe-t-il si j'envoie des newsletters sans respecter ces règles ?

L'Autorité de protection des données peut être saisie d'une plainte, mener un contrôle et prononcer des sanctions, qui vont de l'avertissement à des amendes administratives. Au-delà du risque de sanction, l'envoi non sollicité nuit à ta réputation et à la délivrabilité de tes courriers, car les signalements comme spam dégradent durablement ta capacité à atteindre les boîtes de réception.

Une question sur la conformité RGPD de ta newsletter ?

Tu veux vérifier que ta collecte d'adresses et tes envois sont conformes, ou mettre en place un système de consentement solide ? Contacte Mutatis Legal pour en parler.

Prendre rendez-vous : https://calendly.com/sophie-mutatis/call-decouverte

Email : sophie@mutatis.legal

Reymarkpol Goyone
Suivant

Tu utilises ChatGPT pour rédiger tes contrats ? Voici pourquoi c'est risqué en droit belge