Cold emailing : le guide complet pour respecter les réglementations et les bonnes pratiques (et obtenir des résultats !)

Le cold emailing et l’email marketing sont-ils légaux ?

Existe-t-il des différences entre les pays ?

Ce ne sont là que quelques-unes des questions auxquelles nous répondrons dans cet article, avec deux objectifs principaux : premièrement, vous aider à comprendre pleinement les réglementations en vigueur, et deuxièmement, vous guider sur la marche à suivre exacte si vous envoyez des emails commerciaux.

La légalité du cold emailing et les réglementations actuelles

Le cold emailing est-il légal dans tous les pays ?

Oui, dans la plupart des pays, le cold emailing est autorisé sous certaines conditions.

Mais… (nous savons que vous n’aimez pas quand il y a un “mais” !) Certains pays, comme le Canada et le Danemark, ont des réglementations extrêmement strictes concernant le cold emailing.

De plus, il est crucial de faire la distinction entre les emails envoyés à des destinataires B2C, qui nécessitent presque toujours un consentement explicite (opt-in), et ceux envoyés à des destinataires B2B, qui peuvent être autorisés sous certaines conditions selon les lois locales.

Ce n’est pas encore clair ? Ne vous inquiétez pas, nous allons tout détailler avec des listes de contrôle complètes pour vous assurer que vous êtes parfaitement préparé.

Quelles sont les principales réglementations ?

L’envoi d’emails commerciaux est régi par plusieurs réglementations à travers le monde. Selon le pays ciblé, les règles peuvent varier de plus ou moins strictes. Voici un aperçu des principales lois actuellement en vigueur :

RGPD (Union européenne)
CAN-SPAM Act (États-Unis)
CASL (Canada)
PECR (Royaume-Uni)
Spam Act (Australie)

Elles suivent toutes les mêmes principes de base :

Elles s’appliquent aux messages ayant un but commercial ou promotionnel (vente de produits, services, partenariats).
Elles couvrent différents canaux de communication, tels que les emails, les SMS, les messageries instantanées, les appels téléphoniques et les messages sur les réseaux sociaux.
Elles s’appliquent aux particuliers ou aux entreprises qui envoient des messages à des résidents d’un pays donné, indépendamment de l’origine de l’expéditeur.

⚠️ Mais attention, différentes réglementations peuvent se chevaucher ! Si une entreprise américaine envoie des emails commerciaux à des destinataires dans des pays ayant des lois plus strictes, ces lois plus strictes peuvent également s’appliquer.

Exemples

Une entreprise française envoie des emails à des prospects aux États-Unis → CAN-SPAM Act applicable.
Une entreprise américaine envoie des emails à des prospects en France → CAN-SPAM Act et RGPD applicables.

CAN-SPAM Act (États-Unis)

Qu’est-ce que le CAN-SPAM Act ?

Le Controlling the Assault of Non-Solicited Pornography And Marketing Act (CAN-SPAM) impose plusieurs obligations. Voici les plus importantes :

L’expéditeur doit être clairement identifié dans les champs “De”, “À”, “Répondre à”, et les en-têtes d’email ne doivent pas être trompeurs.
L’objet de l’email doit refléter fidèlement son contenu.
L’expéditeur doit être transparent sur la nature commerciale du message. Cependant, il n’est pas obligatoire d’indiquer explicitement que l’email est une publicité, tant que le contenu n’est pas trompeur.
Chaque email doit inclure l’adresse postale de l’entreprise expéditrice (siège social, bureau ou boîte postale enregistrée).
L’email doit inclure un lien de désabonnement facile à utiliser. L’expéditeur dispose de 10 jours pour traiter les demandes de désabonnement. L’option de désabonnement doit être gratuite et ne doit exiger aucune information supplémentaire autre qu’une adresse email. Par exemple, l’expéditeur ne peut pas exiger que le destinataire se connecte à un compte ou remplisse un formulaire pour se désabonner.
Une fois qu’une personne s’est désabonnée, elle ne doit plus recevoir d’emails commerciaux de cet expéditeur.

Quelles sont les sanctions en cas de non-conformité ?

La sanction principale est que les entreprises peuvent faire face à des amendes allant jusqu’à 51 744 dollars par email en infraction. De plus, les dirigeants d’entreprise et les responsables peuvent être tenus personnellement responsables. Par ailleurs, les emails frauduleux ou trompeurs peuvent également être traités comme des infractions pénales.

Liste de contrôle des bonnes pratiques pour le cold emailing afin de se conformer au CAN-SPAM Act

1️⃣ Identifier correctement l’expéditeur

Utilisez un nom et une adresse email clairs et vérifiables dans les champs “De”, “À” et “Répondre à”.
Ne masquez pas et ne falsifiez pas l’identité de l’expéditeur.
Fournissez une adresse physique valide où l’entreprise peut être contactée (bureau, siège social ou boîte postale enregistrée aux États-Unis).

2️⃣ Rédiger un email conforme au CAN-SPAM

La ligne d’objet doit être honnête et refléter fidèlement le contenu du message (pas de titres trompeurs).
Si l’email est une publicité ou une promotion, il doit être clairement identifiable comme tel. Le CAN-SPAM Act n’exige pas de mention “Publicité” explicite, mais toute forme de tromperie est interdite dans la présentation du message.
Évitez d’utiliser de fausses informations ou des en-têtes trompeurs dans l’email.

3️⃣ Inclure une option de désabonnement claire et facile

Ajoutez un lien de désabonnement visible et convivial.
N’exigez pas du destinataire qu’il se connecte à un compte ou fournisse des informations supplémentaires pour se désabonner, et assurez-vous que la demande est traitée dans les 10 jours.

4️⃣ Assurer une bonne délivrabilité et éviter d’être marqué comme spam

Utilisez une adresse email professionnelle, en évitant les adresses génériques (ex: no-reply@, info@).
Configurez correctement les paramètres DKIM, SPF et DMARC.
Évitez d’envoyer de gros volumes d’emails à la fois ; optez plutôt pour des envois progressifs et ciblés.

5️⃣ Gérer les réponses et suivre les emails envoyés

Assurez-vous que l’adresse “Répondre à” est fonctionnelle et surveillée (les destinataires doivent pouvoir répondre à votre email).
Tenez un registre des contacts désabonnés et assurez-vous qu’ils ne reçoivent plus de messages commerciaux.

Exemple d’un email commercial conforme au CAN-SPAM

Avant de regarder un bon exemple, examinons un contre-exemple.

❌ Pourquoi cet email est-il illégal ?

Il prétend faussement que le compte de l’utilisateur a été suspendu alors qu’il s’agit d’un email marketing.
L’email prétend provenir d’Amazon, alors que ce n’est pas le cas.
Il crée l’impression d’une alerte de sécurité plutôt que d’un message promotionnel.
Aucune adresse physique ni option de désabonnement n’est incluse.

Voici maintenant un exemple à suivre.

✅ Pourquoi cet email est-il conforme ?

La ligne d’objet reflète fidèlement le contenu du message.
L’expéditeur est clairement identifié (nom et adresse email professionnelle).
L’email indique clairement qu’il s’agit d’une offre commerciale.
Il inclut une adresse physique à des fins de contact.
L’option de désabonnement est claire et fonctionnelle.

RGPD (Union européenne)

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018, vise à protéger les données personnelles des citoyens européens en imposant des règles strictes aux entreprises et organisations qui les collectent et les traitent.

📌 Contrairement au CAN-SPAM Act, qui ne réglemente que l’envoi d’emails commerciaux, le RGPD s’applique à toutes les formes de traitement de données personnelles.

Le RGPD repose sur deux principes majeurs :

Consentement explicite (Opt-In) : Généralement requis pour collecter et utiliser des données personnelles, en particulier pour l’envoi d’emails marketing. Dans certains cas, une entreprise peut invoquer une autre base légale, comme l‘“intérêt légitime”, notamment pour les communications B2B.
Droit à l’effacement (“Droit à l’oubli”) : toute personne peut demander la suppression de ses données personnelles, sauf si la conservation est nécessaire (ex: obligations légales, contrats en cours, intérêt public).

💡Définition utile : Le RGPD définit les données personnelles comme toute information identifiant directement ou indirectement une personne physique :

Identifiants directs : Nom, prénom, email, numéro de téléphone…
Identifiants indirects : Adresse IP, cookies, données de géolocalisation…
Données sensibles : Informations sur la santé, origine ethnique, opinions politiques, orientation sexuelle… (protégées plus strictement).

Principes clés imposés aux entreprises manipulant des données personnelles :

Les données doivent être collectées et traitées légalement et de manière transparente (pas de collecte cachée ou trompeuse).
Les données doivent être collectées pour une finalité spécifique, légitime et clairement définie (ex: inscription à une newsletter).
Seules les données strictement nécessaires doivent être collectées (pas de collecte excessive).
Les données ne doivent pas être conservées indéfiniment, seulement le temps nécessaire pour atteindre l’objectif initial.
Les entreprises doivent protéger les données contre les accès non autorisés, les pertes et les violations.

Sanctions en cas de non-conformité au RGPD

Les entreprises qui ne respectent pas le RGPD sont passibles de lourdes amendes : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Exemple :

Meta/Facebook (2023) : 1,2 milliard d’euros d’amende pour le transfert illégal de données vers les États-Unis.

Liste de contrôle des bonnes pratiques pour le cold emailing afin de se conformer au RGPD

1️⃣ Opt-in ou pas ?

Pré-consentement (“Opt-In”) requis pour le B2C : Obtenez un consentement explicite avant d’envoyer des emails marketing à des particuliers (B2C).
Pas d’opt-in obligatoire pour le B2B : Cependant, assurez-vous qu’il existe un intérêt légitime et veillez à ce que le message soit pertinent par rapport à l’activité professionnelle du destinataire.

2️⃣ Quelle adresse email utiliser ?

Pour le destinataire : ne contactez pas les professionnels en utilisant leur adresse email personnelle (ex: Gmail, Yahoo). Utilisez toujours une adresse email professionnelle (ex: [email protected]).
Pour l’expéditeur : utilisez une adresse email professionnelle et évitez les adresses génériques (ex: no-reply@, info@).

3️⃣ Rédiger un email conforme au RGPD

Indiquez clairement l’identité de l’expéditeur : Incluez le nom de l’expéditeur et de l’entreprise.
Expliquez la raison du contact : Clarifiez le lien professionnel légitime.
Ajoutez une déclaration de transparence : Expliquez d’où proviennent les coordonnées (ex: “Nous avons trouvé vos coordonnées sur [LinkedIn / site officiel]”).
Pas de ligne d’objet trompeuse : l’objet doit refléter fidèlement le contenu de l’email.
Incluez un lien vers la politique de confidentialité : expliquez clairement comment les données personnelles sont gérées.
Fournissez une option de désabonnement claire. Par exemple, “Si vous ne souhaitez plus recevoir d’emails de notre part, cliquez ici.”

4️⃣ Assurer une bonne délivrabilité et réputation

Configurez correctement DKIM, SPF et DMARC pour éviter d’être signalé comme spam.
Privilégiez les envois individualisés : Évitez les envois en masse pour maintenir une bonne réputation.
Personnalisez chaque email : Incluez le prénom et le nom du destinataire pour augmenter l’engagement.

5️⃣ Gérer les droits des destinataires

Traitez les demandes de désabonnement immédiatement : Au plus tard 30 jours après la demande.
Ne recontactez pas les personnes ayant demandé la suppression : Une fois que quelqu’un a demandé la suppression de ses données, respectez sa demande de façon permanente.
Conservez les registres de désabonnement : Gardez une preuve des désabonnements pour démontrer la conformité en cas de contrôle.

6️⃣ Gérer et protéger les données collectées

Stockez les données uniquement le temps nécessaire : Évitez de conserver des emails obsolètes ou inutiles.
Sécurisez correctement les données : Mettez en œuvre le chiffrement et des accès restreints pour protéger les données contre toute utilisation non autorisée.
Établissez une procédure de réponse RGPD : Assurez la conformité en mettant en place des processus pour les demandes d’accès, de modification et de suppression des données.

PECR (Royaume-Uni)

Le PECR et le RGPD britannique sont indissociables lorsqu’il s’agit de cold emailing au Royaume-Uni. Et maintenant, vous vous dites peut-être : quoi ? Deux réglementations ? 🫨

Ne vous inquiétez pas ! Le PECR réglemente les emails marketing, tandis que le RGPD britannique réglemente la gestion des données personnelles utilisées dans ces emails. En matière de protection des données, le RGPD britannique est tout aussi strict que le RGPD européen. Donc, si vous maîtrisez la conformité au RGPD, il n’y a aucune différence ici. Quant au PECR, il est plus clément en B2B, mais tout aussi strict en B2C que le RGPD.

👉 En résumé : Si vous respectez pleinement le RGPD, vous êtes automatiquement conforme au PECR et dépassez même certaines de ses exigences.

La différence clé avec le RGPD : l’envoi d’emails marketing B2B

Adresses génériques (ex: [email protected]) : Le PECR autorise l’envoi sans consentement préalable.
Adresses personnelles (ex: [email protected]) : L’intérêt légitime est généralement suffisant, tant que le message est pertinent par rapport au rôle du destinataire.

CASL (Canada)

Si vous pensiez que le RGPD était strict, préparez-vous : le Canada prend le cold emailing au sérieux !

Qu’est-ce que la CASL ?

La Loi canadienne anti-pourriel (CASL), promulguée en 2014, est l’une des lois les plus strictes au monde en matière d’emailing commercial. Contrairement au CAN-SPAM Act et au RGPD, la CASL exige un consentement explicite (opt-in), avec peu d’exceptions spécifiques.

Principe de base : OPT-IN OBLIGATOIRE. Contrairement au CAN-SPAM Act (où un simple opt-out suffit), la CASL impose un consentement préalable (opt-in) dans presque tous les cas. Le consentement tacite est très étroitement réglementé.

💡 Bon à savoir : Un consentement tacite expire après 6 à 24 mois si le destinataire n’a plus d’interaction avec l’entreprise.

Sanctions en cas de non-conformité à la CASL

Les amendes sont particulièrement sévères : jusqu’à 10 millions de dollars canadiens pour une entreprise. Jusqu’à 1 million de dollars canadiens pour un particulier. De plus, des poursuites civiles peuvent être engagées.

Liste de contrôle des bonnes pratiques pour le cold emailing afin de se conformer à la CASL

Pour être plus efficace, nous vous recommandons d’utiliser la liste de contrôle spécifique au RGPD détaillée précédemment. Voici les points qui diffèrent du RGPD pour assurer la conformité à la CASL :

1️⃣ Opt-In

L’opt-in est requis pour les communications B2C et la plupart des communications B2B.

Exemples :

Un formulaire où la personne coche une case non cochée pour accepter de recevoir des emails.

Une inscription volontaire à une newsletter.

Un double opt-in (email de confirmation après l’inscription).

2️⃣ Le consentement tacite est exceptionnel et strictement limité :

Relation d’affaires existante : Par exemple, le destinataire a acheté un produit ou un service au cours des 24 derniers mois.
Demande de renseignements : Par exemple, une personne a rempli un formulaire de contact sur votre site web au cours des 6 derniers mois.
Relation entre organisations à but non lucratif ou membres d’une même association.

3️⃣ La demande de désabonnement doit être traitée dans un délai de 10 jours maximum (au lieu de 30 jours comme requis par le RGPD).

Spam Act (Australie)

Qu’est-ce que le Spam Act ?

Le Spam Act (2003) s’applique à tout particulier ou organisation qui envoie des messages électroniques à des destinataires en Australie, quel que soit le pays d’origine de l’expéditeur. Cette loi est très similaire à la CASL (Canada).

Liste de contrôle des bonnes pratiques pour le cold emailing afin de se conformer au Spam Act

Nous vous recommandons de suivre la liste de contrôle spécifique à la CASL décrite précédemment. Cependant, deux points clés diffèrent :

Premièrement, le Spam Act autorise le consentement déduit dans les situations B2B si une relation d’affaires préexistante est établie (ex: un achat effectué au cours des 24 derniers mois).

💡 Définition utile : Le consentement déduit est une interprétation raisonnable selon laquelle le destinataire accepte de recevoir des emails, sur la base d’une relation d’affaires préexistante ou d’une demande récente (généralement au cours des 6 derniers mois). La loi précise qu’il doit être basé sur une relation commerciale antérieure ou une demande d’information récente.

Ensuite, les demandes de désabonnement doivent être traitées dans un délai de 5 jours ouvrables au lieu de 10 jours comme requis par la CASL.

Avis d’expert : adopter les bonnes pratiques pour le cold emailing avec Mail Merge for Gmail

Fournir un lien de désabonnement facile et visible

Permettre aux destinataires de se désabonner facilement n’est pas seulement une exigence légale, c’est aussi une marque de respect.

De plus, Mail Merge for Gmail propose deux méthodes pour cela. La première consiste à insérer un pied de page de désabonnement complet et standardisé. La seconde consiste à insérer un lien de désabonnement personnalisé.

💡 Nous expliquons tout cela dans une documentation dédiée.

Gérer efficacement les désabonnements

Ne recontactez jamais quelqu’un qui s’est désabonné. Il est essentiel de rester conforme. La gestion manuelle est risquée et sujette aux erreurs.

Avec Mail Merge for Gmail, nul besoin de créer un document supplémentaire : gérez tout directement depuis votre Google Sheet, en créant une colonne spécifique pour les désabonnements.

Ne négligez pas la sécurité

La sécurité est un enjeu crucial dans le cold emailing. Vous devez vous assurer que vos données de prospects sont protégées contre tout accès non autorisé, incluant à la fois les informations personnelles et les interactions des campagnes d’emailing.

Avec Mail Merge for Gmail :

Vos données restent sécurisées sur les serveurs de Google.
Protocoles de sécurité avancés pour chiffrer les données en transit et au repos (AES 256 bits).
Authentification via Google Sign-In avec 2FA.
Aucune donnée personnelle n’est partagée avec des tiers.
Mail Merge n’a pas accès à vos emails.
Certification ISO 27001.
Certification CASA Tier 3.

💡 Nous avons testé 20 outils de cold emailing parmi les plus recommandés. 7 sont sortis du lot, évalués selon 8 critères.

En conclusion, nous espérons que vous avez maintenant une compréhension claire des différentes réglementations et bonnes pratiques ! Pourquoi ne pas essayer Mail Merge for Gmail, le meilleur outil pour répondre aux exigences de conformité ?