Bon, j'vais parler RGPD newsletter. Pas la délivrabilité (j'ai un autre article pour ça), juste la conformité pure. Honnêtement c'est le sujet où j'ai vu passer le plus de boulettes ces deux dernières années. Et depuis que l'APD belge a remis un coup de pression au printemps 2026 avec sa campagne de contrôles ciblés sur les TPE, j'me suis dit qu'un récap honnête s'impose.
Tiens, l'anecdote qui m'a marqué. Mai 2025, Marie qui tient un cabinet de kiné à Genappe me téléphone un samedi matin. Elle a recu un courrier de l'APD, contrôle suite à une plainte d'un patient un peu remonté. Le grief : sa newsletter contenait pas de lien de désinscription clair, et elle avait coché la case « j'accepte de recevoir des news » par défaut sur son formulaire de prise de rdv en ligne. Verdict : avertissement formel, mise en conformité sous 60 jours. Elle s'en est sortie sans amende mais bon, elle a transpiré pendant 2 mois et m'a appelé 4 fois en panique.
Le consentement, c'est pas une formalité
La règle de base elle a pas bougé depuis 2018 franchement. Pour envoyer une newsletter à quelqu'un faut son consentement libre, spécifique, éclairé et univoque. Bon, en français normal ça veut dire quoi. Que la case soit cochée par la personne (jamais pré-cochée, l'APD est très claire la-dessus, tiens y'a une décision de septembre 2024 qui le redit), que le texte dise vraiment « j'm'inscris à la newsletter d'Untel » et pas un truc générique noyé dans les CGV, et que tu puisse prouver après coup que la personne a bien consenti.
Cette dernière partie c'est celle que tout le monde zappe. Genre, si demain l'APD t'écrit, t'as 30 jours pour fournir la preuve. Date, heure, IP, formulaire utilisé, version du texte affiché. Si ton outil sauvegarde rien, t'es cuit. Brevo le fait nativement, Mailchimp aussi mais faut activer une option, et si t'as un formulaire WordPress maison, faut logguer toi-même. J'l'ai fait pour 2 clients en 2024, c'est 20 lignes de code en plus.
Le double opt-in, j'le recommande chaud
C'est pas obligatoire au sens strict du RGPD mais bon, j'le mets partout. La personne s'inscrit, elle recoit un mail avec un lien de confirmation, elle clique. Ça fait trois trucs en même temps. Ça nettoie les fausses adresses (les fameux [email protected] tapés à la va-vite), ça bloque les bots qui scrappent ton formulaire, et surtout ça te donne une trace en béton du consentement. Si l'APD t'embête un jour, tu sors le log du clic de confirmation et c'est plié en 2 minutes.
Le contre-argument c'est que tu perd 15 à 20% des inscrits qui valident pas. Genre Sophie l'année dernière elle a râlé qu'elle avait perdu 35 contacts sur 200 en activant ça. Franchement j'lui ai dit, ces 35-là ils auraient ouvert aucun mail de toute façon, t'as gagné du temps et de la délivrabilité.
Désinscription : 1 clic, point barre
Le lien de désabonnement il doit être visible (pas en gris clair sur fond blanc taille 8, j'l'ai vu faire en 2023 chez un client repris), fonctionnel (testé au moins une fois par mois, j'ai vu 3 sites cette année où le lien renvoyait sur une 404 depuis 6 mois), et il doit marcher en 1 clic. Pas de « êtes-vous sûr », pas de questionnaire « pourquoi nous quittez-vous ». Tu cliques, c'est fini.
Délai de traitement, l'APD considère que sous 48h c'est OK, au-delà ça commence à craindre. Et la personne désinscrite tu la garde dans une liste de suppression , pas dans la base active. Ça évite de la réimporter par erreur dans 6 mois quand tu fais le ménage de fin d'année.
Données collectées : le minimum vital
Pour une newsletter t'as besoin de l'email. Point. Le prénom à la limite si tu veux personnaliser le « Bonjour Untel ». Tout le reste, date de naissance, code postal, secteur d'activité, taille d'entreprise, c'est de la collecte abusive si tu peux pas justifier précisement à quoi ça sert pour ta newsletter spécifiquement.
L'APD m'a sorti un cas concret en formation l'été dernier. Un site qui demandait la date de naissance pour s'inscrire à une newsletter cuisine. Question piège du formateur : pourquoi. Le mec savait pas répondre. C'est exactement ça qui se fait taper en contrôle.
Le registre des traitements, oui même pour toi
Là j'vais être un peu chiant. Si tu envoie une newsletter, t'es responsable de traitement, donc tu doit tenir un registre des activités de traitement. Article 30 RGPD. Beaucoup pensent que ca s'applique qu'aux grosses boîtes, c'est faux. Y'a une exemption pour moins de 250 employés mais elle saute des qu'il y a traitement régulier — et une newsletter mensuelle c'est régulier au sens du règlement.
Bonne nouvelle quand même, pour une TPE c'est un fichier d'1 page. Tu mets la finalité (informer les clients), les catégories de personnes (clients et prospects qui se sont inscrits), les catégories de données (email, prénom), la durée de conservation (3 ans après dernière interaction par exemple), les destinataires (ton outil emailing), les transferts hors UE (oui/non), les mesures de sécurité (mot de passe fort, 2FA). C'est tout. Un Word ou un Google Doc fait l'affaire, pas besoin d'outil payant à 200€/mois.
Sous-traitants et hébergement, le piège
Ton outil emailing c'est un sous-traitant au sens RGPD. Tu doit avoir un contrat de sous-traitance signé avec lui (un DPA en jargon). Brevo, Mailerlite, Sendinblue, tous les gros le proposent en téléchargement direct dans le compte. Tu signe une fois et tu archive dans ton dossier RGPD.
Le truc qui pique vraiment c'est l'hébergement des données. Mailchimp héberge aux États-Unis. Depuis l'invalidation du Privacy Shield et même avec le nouveau Data Privacy Framework de 2023, c'est tendu. Le Cloud Act américain permet aux autorités US de demander tes données peu importe où elles sont stockées. Pour une newsletter de boulangerie, dans la pratique tout le monde s'en fout. Pour une newsletter d'un cabinet d'avocats ou d'un kiné qui balance des prénoms de patients dans ses mails, j'recommande franchement de rester en UE.
Les options EU que je conseille : Brevo (France), Mailerlite (Lituanie), Mailjet (France racheté par le suédois Sinch). Ça marche aussi bien que Mailchimp, c'est pas plus cher, et le jour ou un client te demande où sont ses données, t'as une réponse propre à donner.
Ce que dit l'APD belge en pratique
L'APD c'est l'autorité de protection des données belge. Ils contrôlent, ils sanctionnent, et ils publient leurs décisions sur autoriteprotectiondonnees.be. J'te conseille d'aller lire 2 ou 3 décisions pour voir ce qui se fait taper concrètement. Spoiler : c'est presque toujours pour défaut de consentement valide, désinscription qui marche pas, ou collecte excessive de données.
Les amendes pour TPE sont rarement énormes mais elles existent. La fourchette que j'ai vu en 2024-2025 c'était entre 1500€ et 8000€ pour des PME belges, plus l'obligation de mise en conformité dans le mois. Et surtout, la décision est publique, avec ton nom de boîte dessus. Le bad buzz c'est plus cher que l'amende sur la durée.
Bref
Le RGPD newsletter c'est pas sorcier mais ça demande 2 ou 3h de mise en place sérieuse au démarrage. Formulaire propre, double opt-in, désinscription qui marche, registre tenu à jour, sous-traitant en UE de préférence. Si tu fais ça, tu dort tranquille. Si tu fais l'autruche, t'as juste pas eu de plainte encore, mais ça peut tomber.
Si tu veux qu'on regarde ensemble si ton setup tient la route, j'fais ça à l'heure, généralement en une demi-journée on a fait le tour de ce qui pèche. Sinon les liens vers l'APD et le site de la CNIL française sont publics et y'a tout dedans, faut juste prendre le temps.