ENFRES Outil de plan gratuit
Hatch › Réglementation › RGPD pour les marketeurs
Réglementation

RGPD pour les marketeurs : ce qu'il faut savoir en 2026

Des bases légales et des mécanismes de consentement au Consent Mode v2 et au marketing sans cookies — un guide pratique pour une conformité RGPD qui ne freine pas vos programmes marketing.

Mis à jour juin 2026~9 min de lecture
Ce n'est pas un conseil juridique : Cet article s'adresse aux praticiens du marketing et offre une vue d'ensemble pratique des concepts RGPD. Il ne constitue pas un conseil juridique. Pour des orientations spécifiques à votre organisation, consultez un avocat spécialisé en protection des données ou votre Délégué à la Protection des Données (DPO).

Le Règlement Général sur la Protection des Données — Règlement (UE) 2016/679, en vigueur depuis mai 2018 — reste la législation la plus structurante pour les programmes marketing en Europe. Pourtant, beaucoup d'équipes marketing traitent encore le RGPD comme un problème du département juridique plutôt qu'un problème d'opérations marketing. Cette division crée du risque et laisse de la performance sur la table. Comprendre les principes fondamentaux du règlement permet de construire des programmes à la fois conformes et efficaces — et dans un environnement de mesure sans cookies, les deux objectifs sont plus alignés qu'ils n'y paraissent.

Les bases légales : le fondement de tout

Chaque traitement de données personnelles dans votre stack marketing doit reposer sur une base légale au sens de l'article 6 du RGPD. Il en existe six, mais pour la plupart des activités marketing, trois sont pertinentes :

Base légaleApplication en marketingContrainte principale
Consentement (art. 6(1)(a))Email marketing, cookies de traçage, publicité comportementale, profilageDoit être libre, spécifique, éclairé et non ambigu. Révocable à tout moment.
Intérêt légitime (art. 6(1)(f))Prospection B2B (avec réserves), analytics, prévention de la fraude, certains courriersExige une Analyse d'Impact sur les Intérêts Légitimes (LIA). Les droits de la personne peuvent prévaloir.
Contrat (art. 6(1)(b))Traitement nécessaire à l'exécution d'un achat, envoi d'un reçu, gestion d'un abonnementCouvre uniquement le traitement strictement nécessaire au contrat. Ne peut pas s'étendre au marketing.

Une erreur courante consiste à utiliser l'intérêt légitime comme base fourre-tout pour éviter la friction de l'obtention du consentement. La CNIL, comme les autres autorités de contrôle européennes, est claire : l'intérêt légitime ne peut pas se substituer au consentement lorsque celui-ci est la base appropriée, notamment pour le marketing direct auprès des consommateurs.

Le choix de la bonne base légale dès le départ détermine vos obligations en aval : ce que vous communiquez aux personnes, la durée de conservation des données, les droits dont elles disposent, et la manière dont vous répondez à leur exercice. Il conditionne également la structuration de votre stack martech.

Mécanismes de consentement : opt-in, double opt-in et ce qui compte

Sous RGPD, le consentement au marketing doit satisfaire un niveau d'exigence élevé. Les éléments clés définis à l'article 7 et au considérant 32 sont :

  • Libre : Pas de consentement conditionné à l'acceptation des CGU. Pas de désavantage en cas de refus. Pas de cases pré-cochées.
  • Spécifique : Un consentement distinct pour chaque finalité (newsletter, publicité comportementale, partage de données avec des tiers). Une case à cocher unique ne couvre pas plusieurs finalités.
  • Éclairé : La personne doit savoir qui collecte les données, dans quel but et pour combien de temps — avant de consentir.
  • Non ambigu : Une action affirmative active est requise — cocher une case, cliquer sur un bouton. Le silence ou l'inaction ne valent pas consentement.

Le double opt-in (un email de confirmation nécessitant un second clic pour activer l'abonnement) n'est pas légalement imposé par le RGPD, mais est considéré comme une bonne pratique par le Comité Européen de la Protection des Données (CEPD) et par la CNIL. Il renforce la preuve du consentement et améliore la qualité des listes — les arguments conformité et délivrabilité pointent dans la même direction.

Les preuves de consentement doivent être conservées : qui a consenti, quand, à quoi, via quel mécanisme, et en utilisant quelle version de la notice. C'est une exigence opérationnelle que votre CRM ou votre Consent Management Platform (CMP) doit prendre en charge.

Retrait du consentement : Se désabonner doit être aussi simple que de s'abonner. Si l'inscription se fait en un clic, la désinscription doit se faire en un clic. Exiger d'appeler un numéro ou d'envoyer un courrier pour se désinscrire ne respecte pas cette exigence.

Cookies, ePrivacy et la bannière de consentement

Les cookies et technologies de traçage similaires sont encadrés par la Directive ePrivacy (2002/58/CE, amendée en 2009) en complément du RGPD. Selon les règles ePrivacy, les cookies non essentiels nécessitent un consentement préalable — c'est-à-dire que le cookie ne peut pas être déposé avant que l'utilisateur accepte. Les cookies strictement nécessaires (cookies de session, de panier, de sécurité) sont exemptés.

En pratique, cela signifie :

  • Les cookies analytics (Google Analytics, Matomo) nécessitent un consentement sauf configuration en mode respectueux de la vie privée
  • Les cookies publicitaires et de reciblage (Meta Pixel, Google Ads, LinkedIn Insight Tag) nécessitent toujours un consentement
  • Les outils de test A/B utilisant des cookies nécessitent un consentement
  • Les outils de heatmap et d'enregistrement de sessions (Hotjar, Microsoft Clarity) nécessitent un consentement

Les CMP comme Didomi, OneTrust ou Axeptio implémentent le Transparency and Consent Framework (TCF) de l'IAB Europe pour standardiser la collecte et la transmission des signaux de consentement aux acteurs de l'ad tech. Si vous faites de la publicité programmatique, votre CMP doit être certifiée TCF pour que vos signaux de consentement soient reconnus par les DSP et SSP.

Les dark patterns dans les interfaces de consentement — bouton « Tout accepter » mis en valeur, « Tout refuser » enfoui sous plusieurs clics — ont fait l'objet de sanctions de la CNIL. Les lignes directrices du CEPD sur les dark patterns (publiées en 2022) précisent clairement qu'un consentement obtenu via un design manipulateur n'est pas un consentement valide.

Google Consent Mode v2, obligatoire pour tous les annonceurs utilisant Google Ads et Google Analytics 4 dans l'Espace Économique Européen depuis mars 2024, modifie le fonctionnement de la mesure lorsque les utilisateurs ne consentent pas au traçage.

Lorsqu'un utilisateur refuse le consentement, Consent Mode v2 ne déclenche pas les balises de mesure standard. À la place, il envoie des pings sans cookie à Google ne contenant aucun identifiant personnel. Google utilise ensuite des conversions modélisées — inférence statistique basée sur des données agrégées et consenties issues de trafics similaires — pour estimer les conversions survenues dans la population non consentante.

L'implication pratique pour les marketeurs : vos chiffres de conversions rapportés dans Google Ads incluront à la fois des conversions observées (utilisateurs consentants) et des conversions modélisées (utilisateurs non consentants). Les totaux rapportés seront supérieurs à ce que vous observeriez des seuls utilisateurs consentants, mais la méthodologie est transparente et appliquée de manière cohérente. Les annonceurs qui implémentent correctement Consent Mode v2 observent généralement une meilleure optimisation des campagnes que ceux qui n'envoient aucun signal pour les utilisateurs non consentants.

Consent Mode v2 nécessite une CMP qui prend en charge l'API Google Consent Mode et transmet les bons signaux de consentement (ad_storage, analytics_storage, ad_user_data, ad_personalization) à vos balises Google via le data layer ou une intégration de gestionnaire de balises.

Minimisation des données et durées de conservation

L'article 5(1)(c) du RGPD établit le principe de minimisation des données : ne collecter que ce qui est adéquat, pertinent et limité à ce qui est nécessaire à la finalité. Pour les marketeurs, cela a des implications directes sur la conception des formulaires, l'hygiène CRM et la configuration des outils analytics.

En pratique : un formulaire d'inscription à une newsletter qui demande le titre de poste, la taille de l'entreprise, le secteur d'activité, le numéro de téléphone et la date de naissance alors que seule une adresse email est nécessaire pour envoyer la newsletter ne passe pas le test de la minimisation. Chaque champ collecté doit avoir une finalité documentée.

L'article 5(1)(e) ajoute le principe de limitation de conservation : les données ne doivent pas être conservées plus longtemps que nécessaire. Cela implique des durées de conservation définies dans votre CRM — et un processus pour les appliquer. Les approches courantes incluent les listes de suppression pour les contacts désabonnés, les calendriers de suppression automatique pour les contacts inactifs après une durée définie, et des audits de données annuels.

La minimisation s'applique aussi à la configuration de vos outils analytics. GA4 offre des paramètres de conservation des données ; régler la conservation au minimum cohérent avec vos besoins de reporting réduit votre exposition. L'anonymisation IP doit être active par défaut.

Marketing sans cookies et données first-party

La trajectoire à long terme du marketing digital tend vers une mesure sans cookies tiers et une primauté des données first-party. Les cookies tiers — déjà bloqués par Safari et Firefox — sont en cours de suppression progressive dans l'écosystème des navigateurs. La pression réglementaire et l'évolution technique convergent dans la même direction.

La conformité RGPD et la stratégie sans cookies se renforcent mutuellement. Construire un actif de données first-party — listes email avec consentement, données CRM, comportement des utilisateurs connectés — est à la fois l'approche conforme et la plus durable stratégiquement. Les tactiques qui fonctionnent dans un environnement sans cookies et centré sur le consentement incluent :

  • Le tracking server-side, qui déplace le traitement des données côté serveur et réduit la dépendance aux cookies navigateur
  • Les intégrations Conversion API (Meta CAPI, Google Enhanced Conversions) qui envoient des signaux first-party hashés directement aux plateformes publicitaires, améliorant la qualité du signal sans traçage utilisateur supplémentaire
  • Les clean rooms (Google Ads Data Hub, Amazon Marketing Cloud) pour une mesure respectueuse de la vie privée sur des datasets consentis
  • Le Marketing Mix Modeling (MMM) pour une attribution agrégée et respectueuse de la vie privée, sans traçage au niveau individuel — consultez notre guide sur le MMM pour une explication complète
Construisez des plans marketing conformes

Un plan marketing bien structuré intègre dès le départ la gouvernance des données, la stratégie de consentement et l'architecture de mesure. Utilisez l'outil de planification gratuit de Hatch pour construire des programmes qui fonctionnent dans le cadre de vos contraintes de conformité.

Outil de plan gratuit
Besoin d'aide experte sur le consentement et la conformité ?

NEWP accompagne les équipes marketing B2B sur l'implémentation de CMP, la configuration de Consent Mode v2 et l'architecture de mesure conforme. Parlez à une agence experte avant votre prochain lancement de campagne.

Parler à un expert chez NEWP

Questions fréquentes

Puis-je utiliser l'intérêt légitime pour l'email marketing auprès des consommateurs ?

En général non. Pour le marketing direct auprès des consommateurs par email, le consentement est la base légale requise par la Directive ePrivacy et les orientations de la plupart des autorités de contrôle de l'UE, dont la CNIL. L'intérêt légitime peut s'appliquer dans des scénarios B2B limités — par exemple, contacter par email un interlocuteur professionnel nominatif au sujet d'un produit directement pertinent — mais cela nécessite une Analyse d'Impact sur les Intérêts Légitimes documentée.

Le RGPD s'applique-t-il à mon marketing si je ne suis pas établi dans l'UE ?

Le RGPD s'applique si vous ciblez ou surveillez des individus dans l'UE, quel que soit le lieu d'établissement de votre entreprise. L'article 3 établit explicitement cette portée extraterritoriale. Si vous menez des campagnes ciblant des audiences européennes, le RGPD s'applique à vos traitements de données pour ces campagnes.

Quelle est la différence entre une CMP et une bannière de cookies ?

La bannière de cookies est l'élément d'interface visible. Une Consent Management Platform (CMP) est le système sous-jacent qui collecte, stocke et transmet les signaux de consentement à vos outils marketing. Une bannière sans CMP correcte derrière peut paraître conforme mais ne transmettra pas les signaux de consentement correctement aux plateformes publicitaires et aux outils analytics — c'est là que se situe réellement le risque contentieux.

Dois-je implémenter Google Consent Mode v2 ?

Si vous utilisez Google Ads ou Google Analytics 4 et ciblez des utilisateurs dans l'Espace Économique Européen, oui. Sans Consent Mode v2, les systèmes de Google ne peuvent pas modéliser les conversions pour les utilisateurs non consentants, ce qui dégrade l'optimisation des campagnes. Google en a fait une exigence pour le trafic EEE, et la non-conformité affecte votre capacité à utiliser efficacement les fonctionnalités d'audience et le suivi des conversions.

Continuer la lecture

Guide sur le Marketing Mix Modeling Comment construire un stack martech Meilleurs outils analytics pour les marketeurs