Inscription newsletter RGPD : les règles en Belgique
Steven | TrustYourWebsite · 12 juin 2026 · Dernière mise à jour : juin 2026
Chaque entreprise qui propose un formulaire d'inscription à sa newsletter collecte des données personnelles. Une adresse e-mail est une donnée personnelle au sens du RGPD. Les règles s'appliquent donc à vous, même si vous n'envoyez qu'un seul e-mail par mois à 50 abonnés.
La bonne nouvelle : se mettre en règle n'est pas compliqué. L'essentiel consiste à être clair sur ce que vous faites et à laisser aux gens un vrai choix. Un scan RGPD gratuit vérifie votre formulaire d'inscription, votre bannière cookies et votre politique de confidentialité en deux minutes.
Ce que le RGPD exige pour le consentement à la newsletter
Le RGPD pose quatre conditions pour qu'un consentement soit valable (article 4, point 11). Il doit être libre, spécifique, éclairé et univoque. Cela paraît abstrait, alors voici ce que chaque condition signifie concrètement pour votre formulaire.
Libre signifie que personne ne peut être forcé ou poussé à s'inscrire. Lier le consentement à la newsletter à un achat ou le cacher dans des conditions générales ne compte pas. L'inscription doit être une démarche distincte et volontaire.
Spécifique signifie que vous devez dire exactement à quoi les gens s'inscrivent. « Restez informé » est trop vague. « Recevez notre e-mail mensuel avec des astuces de pâtisserie et nos offres » est spécifique. Si vous prévoyez d'envoyer différents types d'e-mails, dites-le.
Éclairé signifie que les gens savent qui collecte leurs données et ce que vous en ferez. Votre formulaire d'inscription doit contenir un lien vers votre déclaration de confidentialité qui couvre le marketing par e-mail. Pas de lien vers la politique de confidentialité près du formulaire ? C'est une lacune.
Univoque signifie que la personne doit poser un acte clair pour consentir. Taper son adresse e-mail et cliquer sur « S'abonner » compte. Une case pré-cochée ne compte pas. La Cour de justice de l'UE a jugé dans l'affaire Planet49 (C-673/17) que les cases cochées par défaut ne constituent pas un consentement valable.
Ce que votre formulaire d'inscription doit contenir
Voici une checklist pratique pour votre formulaire.
Une description claire de ce que les abonnés recevront. « Abonnez-vous à notre newsletter » est le strict minimum. Mieux : « Recevez notre e-mail hebdomadaire avec des conseils de conformité pour votre site web. » Encore mieux : précisez la fréquence et les thèmes généraux. Un webshop belge pourrait écrire : « Recevez chaque semaine nos nouveautés produits et notre rappel conformité mensuel. »
Aucune case pré-cochée. Si vous utilisez une case à cocher pour le consentement, elle doit être décochée au départ. C'est l'abonné qui doit la cocher lui-même. Cela vaut pour toute case de votre site qui implique un traitement de données personnelles.
Un lien vers votre politique de confidentialité. Placez-le juste à côté du bouton d'envoi ou de la case de consentement. Par exemple « En vous abonnant, vous acceptez notre politique de confidentialité » avec un lien fonctionnel. Vérifiez que votre politique de confidentialité mentionne réellement le marketing par e-mail, et pas seulement les cookies.
Ne demandez que ce dont vous avez besoin. S'il vous suffit d'une adresse e-mail pour envoyer une newsletter, n'exigez pas un numéro de téléphone, une date de naissance ou une adresse postale. Collecter plus de données que nécessaire viole le principe de minimisation des données du RGPD (article 5, paragraphe 1, point c).
Pas de design trompeur. Le bouton d'envoi ne doit pas afficher « Oui, je veux être au top ! » pendant que l'option de refus se réduit à un minuscule lien gris « Non, je préfère rester mal informé ». Ces dark patterns violent les mêmes principes de consentement que ceux qui s'appliquent aux bannières cookies.
La langue de votre formulaire. Les entreprises belges qui servent à la fois des clients néerlandophones et francophones devraient proposer le texte de consentement et le lien vers la politique de confidentialité en NL et en FR. Une boulangerie flamande qui livre aussi en Wallonie doit couvrir les deux communautés linguistiques.
Double opt-in : pas toujours obligatoire, mais toujours malin
Le double opt-in signifie qu'après avoir rempli votre formulaire, la personne reçoit un e-mail de confirmation. Elle doit cliquer sur le lien de cet e-mail avant d'être réellement abonnée.
En Allemagne, le double opt-in est de fait obligatoire. Les tribunaux allemands jugent de manière constante que sans lui, vous ne pouvez pas prouver que le consentement a été donné par le véritable titulaire de l'adresse e-mail. Le Bundesgerichtshof a confirmé cette approche et les autorités allemandes de protection des données l'appliquent.
En Belgique et dans la plupart des autres pays de l'UE, le double opt-in n'est pas strictement obligatoire sur le plan légal. Il est toutefois fortement recommandé. Voici pourquoi : si quelqu'un saisit une adresse e-mail erronée ou fictive, vous finissez par écrire à des personnes qui n'ont jamais consenti. C'est une violation du RGPD que vous auriez pu éviter.
Le double opt-in vous donne aussi des listes plus propres et une meilleure délivrabilité. Consultez notre guide complet sur le double opt-in obligatoire pour les instructions de mise en place.
Quelles preuves de consentement conserver
Le RGPD fait peser la charge de la preuve sur vous. Si quelqu'un affirme ne s'être jamais inscrit, vous devez démontrer le contraire. Cela suppose de conserver des preuves du consentement.
Pour chaque abonné, conservez :
- L'adresse e-mail et toute autre donnée fournie
- La date et l'heure de l'inscription
- Le texte exact auquel la personne a consenti (une copie du texte de votre formulaire à ce moment-là)
- Le canal d'inscription (quelle page, quel formulaire)
- L'adresse IP au moment de l'inscription
- La date et l'heure de la confirmation double opt-in, si vous l'utilisez
La plupart des outils d'e-mail marketing comme Mailchimp, Brevo et ConvertKit enregistrent une partie de ces éléments automatiquement. Vérifiez tout de même ce que le vôtre enregistre réellement. S'il ne sauvegarde que l'adresse et la date, vous devrez peut-être compléter avec vos propres journaux.
Conservez ces preuves aussi longtemps que la personne est abonnée, plus une période raisonnable après sa désinscription. Deux à trois ans après la désinscription est une pratique courante.
Chaque e-mail doit contenir une option de désinscription
C'est simple et pourtant souvent oublié. Chaque e-mail marketing que vous envoyez doit inclure un lien de désinscription fonctionnel. Pas enfoui en corps 8 au bas d'un mur de texte. Visible et opérationnel.
La désinscription doit fonctionner en un clic. N'obligez pas les gens à se connecter, à remplir un formulaire ou à envoyer un e-mail pour se désinscrire. Les grands fournisseurs de messagerie imposent aussi leurs propres standards de délivrabilité autour des en-têtes list-unsubscribe, donc une désinscription sans friction est une bonne pratique au-delà de la conformité légale.
Traitez les demandes de désinscription dans les 48 heures. Idéalement, c'est instantané.
Les règles nationales à connaître
Le RGPD s'applique dans toute l'UE, mais certains pays ajoutent des exigences via leur droit national. Voici un résumé des règles qui comptent le plus pour les entreprises belges.
| Pays | Règle de consentement | Position sur le double opt-in | Régulateur | Particularités |
|---|---|---|---|---|
| Belgique | Opt-in obligatoire (CDE art. XII.13) | Pas obligatoire, fortement recommandé | APD et SPF Économie | La loi du 30 juillet 2018 régit la protection des données. Obligation bilingue NL/FR pour les entreprises servant les deux communautés. |
| Allemagne | Opt-in obligatoire (UWG §7) | De facto exigé par les tribunaux | Autorités des Länder | Les concurrents peuvent envoyer des mises en demeure (Abmahnungen). Sauter le double opt-in comporte un risque réel. |
| Royaume-Uni | Opt-in obligatoire (PECR + UK GDPR) | Pas obligatoire | ICO | Exception soft opt-in généreuse pour les clients existants |
| Pays-Bas / Irlande / Pays nordiques | Opt-in obligatoire (RGPD standard) | Pas obligatoire | AP, DPC, autorités nationales | Base ePrivacy standard sans ajouts majeurs |
Belgique. L'article XII.13 du Code de droit économique (Wetboek van economisch recht / Code de droit économique) est la règle applicable au marketing par e-mail en Belgique. Il exige un consentement opt-in avant d'envoyer un e-mail commercial à un particulier. L'ancienne loi du 13 juin 2005 relative aux communications électroniques n'est plus le bon ancrage pour cette règle.
Côté protection des données, la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel est la mise en œuvre belge du RGPD. La répartition est la suivante : la loi du 30 juillet 2018 régit la manière dont vous traitez les données personnelles, et l'article XII.13 du CDE détermine si vous pouvez envoyer des messages marketing tout court.
Deux instances veillent ici. L'APD (Autorité de protection des données / Gegevensbeschermingsautoriteit) traite les plaintes en matière de protection des données et a rendu des décisions contre le marketing direct sans base de consentement valable au titre du RGPD. Le SPF Économie fait respecter les règles de pratiques du marché du CDE. Une seule campagne non conforme peut attirer des plaintes des deux côtés.
Il existe une exception limitée de soft opt-in pour les clients existants : si quelqu'un vous a acheté quelque chose, vous pouvez lui écrire au sujet de produits similaires. La personne doit toutefois pouvoir se désinscrire facilement, et vous devez vous identifier clairement dans chaque message. Notre guide sur l'exception soft opt-in en Belgique détaille les conditions.
Les entreprises belges qui comptent des clients dans les deux communautés linguistiques devraient proposer le texte de consentement et le lien vers la politique de confidentialité en néerlandais et en français. Cela vaut que votre entreprise soit établie en Flandre, en Wallonie ou à Bruxelles.
Allemagne. L'approche la plus stricte d'Europe. Le double opt-in est attendu par les tribunaux et les régulateurs. La Gesetz gegen den unlauteren Wettbewerb (UWG) ajoute des exigences de droit de la concurrence au RGPD. Les entreprises allemandes attaquent régulièrement leurs concurrents pour e-mail marketing non conforme via des mises en demeure formelles. Ne sautez pas le double opt-in si vous avez des abonnés allemands.
Royaume-Uni. Depuis le Brexit, le Royaume-Uni applique le UK GDPR ainsi que les PECR (Privacy and Electronic Communications Regulations). Les règles ressemblent au RGPD de l'UE. Le consentement est requis pour les e-mails marketing. L'exception « soft opt-in » existe pour les clients existants.
Pays-Bas, Irlande et pays nordiques. Ces pays suivent en général l'approche standard du RGPD sans ajouts majeurs. Consentement avant l'envoi, désinscription claire dans chaque e-mail, preuves en règle.
Les erreurs fréquentes sur les formulaires d'inscription
Voici les problèmes que nous voyons le plus souvent en contrôlant des formulaires de newsletter avec notre scanner RGPD gratuit.
La case newsletter cachée. Une case enfouie dans un formulaire de commande ou de contact qui abonne les gens automatiquement. Ce n'est pas un consentement libre, car personne ne s'attend à ce qu'un formulaire de contact l'inscrive à des e-mails marketing.
« 10 % de réduction » contre une adresse e-mail. Offrir une remise pour une inscription à la newsletter est permis. Le consentement doit néanmoins rester spécifique et éclairé. Ne mélangez pas la remise et le marketing récurrent. Soyez clair : « Entrez votre e-mail pour 10 % de réduction. Vous recevrez aussi notre newsletter hebdomadaire. »
Pas de désinscription dans les e-mails. Nous voyons encore des e-mails marketing sans aucun lien de désinscription. Cela viole à la fois le RGPD et les règles ePrivacy dans tous les pays de l'UE.
L'achat de listes d'adresses. Les personnes figurant sur des listes achetées ne vous ont jamais donné leur consentement. Leur envoyer des e-mails marketing est une violation manifeste du RGPD. Peu importe que le vendeur de la liste prétende que les adresses sont « opt-in ».
Le partage des abonnés avec des partenaires. Sauf si votre formulaire indique précisément « nous partagerons votre e-mail avec le partenaire X pour son marketing », vous ne pouvez pas le faire. Une formule générique sur des « partenaires de confiance » ne satisfait pas l'exigence de spécificité.
Comment vérifier votre propre formulaire
Ouvrez votre site web et regardez votre formulaire d'inscription avec un œil neuf.
- Y a-t-il une description claire de ce que vous enverrez et à quelle fréquence ?
- Y a-t-il des cases pré-cochées ?
- Votre politique de confidentialité est-elle liée près du formulaire ?
- Collectez-vous uniquement les données dont vous avez réellement besoin ?
- Le design donne-t-il le même poids à l'inscription et à la non-inscription ?
- Après l'inscription, l'abonné reçoit-il un e-mail de confirmation ?
- Chaque e-mail marketing que vous envoyez contient-il un lien de désinscription visible ?
Si vous avez répondu « non » à l'une de ces questions, vous avez quelque chose à corriger.
Questions fréquentes
Ai-je besoin d'un consentement pour les e-mails transactionnels comme les confirmations de commande ?
Non. Les e-mails nécessaires à l'exécution d'un contrat (confirmations de commande, suivis d'expédition, réinitialisations de mot de passe) ne requièrent pas de consentement marketing. Vous ne pouvez toutefois pas glisser du contenu marketing dans des e-mails transactionnels. Gardez-les séparés.
Puis-je écrire à mes clients existants sans consentement newsletter distinct ?
Dans la plupart des pays de l'UE, il existe une exception « soft opt-in ». Si quelqu'un a acheté chez vous, vous pouvez lui écrire au sujet de produits ou services similaires. Vous devez toutefois avoir proposé une option de refus au moment de l'achat, et chaque e-mail doit contenir une option de désinscription. En pratique, cette exception ne fonctionne pas en Allemagne.
Que se passe-t-il si je n'ai pas de preuves de consentement en règle ?
Si une autorité de protection des données enquête, la charge de la preuve repose sur vous. Sans preuves, vous ne pouvez pas démontrer un consentement valable. Les amendes dépendent du régulateur et de l'ampleur de la violation, mais l'absence de preuves de consentement rend toute défense nettement plus difficile.
Un formulaire de newsletter en popup est-il conforme au RGPD ?
Un popup peut être conforme s'il remplit les mêmes exigences : description claire, aucune case pré-cochée, lien vers la politique de confidentialité et enregistrement correct du consentement. Le format popup n'est pas le problème en soi. Mais des popups agressifs qui bloquent le contenu tant que la personne ne s'abonne pas s'apparentent à une forme de contrainte, ce qui fragilise l'exigence de consentement libre.
Ces règles s'appliquent-elles aux newsletters B2B ?
Oui, avec quelques nuances. Si vous écrivez à des contacts professionnels individuels, le RGPD s'applique parce que vous traitez des données personnelles. Certains pays (comme le Royaume-Uni et les Pays-Bas) ont des règles plus souples pour l'e-mail B2B, mais vous avez toujours besoin d'une base légale et d'une option de désinscription dans chaque e-mail.
Vérifiez votre site web maintenant. Lancez un scan gratuit pour repérer les problèmes de formulaire de newsletter, les politiques de confidentialité manquantes et d'autres problèmes RGPD. Sans inscription. En 2 minutes.
Sources
- Règlement (UE) 2016/679, règlement général sur la protection des données (eur-lex.europa.eu)
- Directive 2002/58/CE, directive ePrivacy (eur-lex.europa.eu)
- CJUE, affaire C-673/17 Planet49, cases de consentement pré-cochées (curia.europa.eu)
- Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ejustice.just.fgov.be)
- Code de droit économique, Livre XII, services de la société de l'information (ejustice.just.fgov.be)
- Autorité de protection des données, autorité belge de protection des données (autoriteprotectiondonnees.be)
- SPF Économie, Commerce électronique (economie.fgov.be)
Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de email et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Cases pré-cochées illégales sous le RGPD: guide Belgique
Les cases pré-cochées illégales sous le RGPD ne valent pas consentement depuis l'arrêt Planet49. Risques APD pour les entreprises belges et solutions.
Double opt-in obligatoire ? Cela dépend du pays
Double opt-in obligatoire en Allemagne, recommandé en Autriche, bonne pratique en Belgique. Ce que dit la loi par pays et comment configurer la confirmation.
Consentement email marketing : règles par pays en Europe
Les règles de consentement email marketing varient en Europe. Comparez la Belgique, l'Allemagne, les Pays-Bas, le Royaume-Uni et la France dans ce guide.
Soft opt-in Belgique : email sans consentement préalable
Emailer vos clients existants sans nouveau consentement ? L'article XII.13 WER le permet sous 4 conditions strictes. Le soft opt-in en Belgique expliqué.