Peut-on proposer des remises commerciales contre un consentement à recevoir des newsletters marketing ?

L'autorité lettonne de protection des données (Datu valsts inspekcija ou Data State Inspectorate - DVI) vient s'est prononcée sur une pratique marketing répandue mais sur laquelle nous n'avons que peu de recul règlementaire : l'octroi d'un code de réduction ou d'une remise commerciale en échange du consentement des clients à recevoir des communications commerciales par e-mail. Cette position, bien qu'émise par une autorité nationale n'ayant pas compétence directe en France, peut néanmoins nous éclairer quant aux futures interprétations possibles pour les entreprises françaises qui cherchent à optimiser leurs stratégies de marketing direct tout en respectant les exigences strictes du RGPD.

Elle nous semble aussi être l'occasion de faire un point d'étape de la position actuelle plus globale des autorités de contrôle concernant « l'achat de consentement ».

Le cadre réglementaire européen applicable aux communications commerciales

Pour rappel, la réglementation des communications commerciales par voie électronique s'appuie sur un double fondement juridique européen. D'une part, le RGPD impose des conditions strictes pour le recueil du consentement, définissant celui-ci en son article 4 §11 comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement".

D'autre part, la directive ePrivacy 2002/58/CE, transposée différemment selon les États membres, encadre spécifiquement l'utilisation des données de contact électroniques à des fins commerciales. Cette directive établit le principe général du consentement préalable pour la prospection électronique, tout en prévoyant certaines exceptions, notamment pour les relations commerciales existantes. En France, cette directive a notamment été transposée à l'article L.34-5 du Code des postes et des communications électroniques.

Dans le contexte letton, la règlementation sur les services de la société de l'information impose des exigences spécifiques pour les communications commerciales électroniques. En substance, la loi lettonne, à l’instar de la loi française, interdit strictement l'utilisation de systèmes d'appel automatisés, d'e-mails ou de télécopies pour des communications commerciales non sollicitées, sauf si le destinataire a donné son consentement préalable explicite.

Une position pragmatique mais nuancée

L'autorité lettonne nous apparaît adopter une approche pragmatique concernant l'octroi de remises commerciales en échange du consentement aux communications marketing. D'après son analyse, une remise commerciale ne rendrait pas automatiquement invalide le consentement donné, à condition que :

1. (i.) ce dernier conserve ses caractéristiques fondamentales telles que prévues à l'article 4 §11 du RGPD (« libre, spécifique, éclairée et univoque ») ;
2. (ii.) l'offre commerciale ou la remise proposée n'affecte pas l'accès au service lui-même et qu'elle ne soit mentionnée qu'à titre d'information supplémentaire dans cette section, comme une « gratitude » pour l'intérêt manifesté, afin de ne pas donner au client le sentiment qu'en ne donnant pas son consentement au traitement de ses données, il recevra une offre beaucoup moins avantageuse ;
3. (iii.) la section dédiée à la saisie des coordonnées pour recevoir les communications commerciales « exprime clairement l'objectif du traitement des données – l'envoi de communications commerciales » et qu'aucun compromis ne soit fait concernant les autres obligations liées au devoir d'information et à l'exercice des droits des personnes concernées.

Aussi, et plus précisément, la DVI accompagne cette tolérance de conditions strictes qui permettent d’appréhender les limites qu’elle entend poser pour préserver l'authenticité du consentement au sens de la réglementation précitée. Ainsi, au niveau de la présentation des finalités auprès de la personne concernée, l'autorité insiste notamment sur la nécessité d'une séparation claire entre la finalité commerciale et l'accès au service principal. Cette exigence vise à éviter que le consentement aux communications commerciales ne devienne en pratique une condition d'accès au service, ce qui viderait de sa substance l'exigence de liberté et serait par ailleurs contraire aux positions exprimées précédemment par l’EDPB dans ses guidelines 05/2020 concernant le consentement, ou encore dans son avis adopté le 17 avril 2024 concernant les « modèles consentir ou payer » [on vous voit sourire les fans du franglais !].

L'information complète sur la finalité des communications commerciales constitue un autre aspect fondamental du raisonnement de la DVI pour accepter le principe du modèle présenté. Cette exigence rejoint directement les obligations d'information prévues aux articles 13 et 14 du RGPD, qui imposent au responsable de traitement de fournir une information claire et compréhensible sur les finalités du traitement, les destinataires des données et les droits de la personne concernée.

La consécration du caractère déterminant d'un cadrage éthique ?

Aussi, le cas présenté à la DVI nous met en présence d'un mécanisme de psychologie relativement fréquent : l'effet de cadrage, qui, selon la théorie des perspectives développée notamment par D. Kahneman et A. Tversky (qu'on adore, au passage), montre qu'un cadrage bien calibré peut faire obstacle au biais d'aversion à la perte selon lequel les pertes « pèsent » davantage que des gains de même amplitude.C’est ce qui explique qu’un cadrage « coût supplémentaire si refus » soit psychologiquement plus contraignant qu’un cadrage « remise si accord », à impact financier égal.

Nous synthétisons ci-dessous les différences de perception sur la personne concernée :

À notre sens, c'est précisément grâce à ce cadrage et à son effet moins contraignant sur les personnes concernées que l'avis de la DVI peut être étendu à d'autres domaines ou opérations de traitement souhaitant se fonder sur la base légale de l'article 6 f) du RGPD.

Les entreprises françaises qui envisagent d'adopter des stratégies de marketing incluant l'octroi de remises commerciales en contrepartie d'un opt-in pour une finalité de marketing direct nous paraissent donc pouvoir accueillir le présent avis de la DVI avec enthousiasme...et prudence.

L'évaluation de la proportionnalité

Bien entendu, l'évaluation de la proportionnalité de l'incitation constituera un élément central de cette analyse. Une remise de faible valeur (par exemple entre 5 et 10 %), dans un contexte commercial non essentiel (voyages, loisirs, restaurants) présentera moins de risques qu'un avantage substantiel (par exemple supérieur à 10 %) conditionné à l'acceptation des communications commerciales pour l'accès à un service nécessaire (achats de biens de première nécessité, services de communication...).

De même, proposer ce mécanisme à des personnes concernées déjà clientes de l'entreprise sera nécessairement mieux accueilli par les autorités de contrôle, étant rappelé que, dans ce cadre, il reste possible, sous conditions, d'envoyer des communications commerciales sur le fondement de l'intérêt légitime (i.e. sans avoir à recueillir spécifiquement le consentement du client), pour des produits ou services similaires.

C’est également pour cette raison que nous pensons que cette position est parfaitement conforme à l’esprit des textes précités et, plus généralement, à la position de l’EDPB.

De la compatibilité de l'avis de la DVI avec la position de l'EDPB

Les entreprises doivent particulièrement veiller à ne pas créer de déséquilibre entre l'avantage offert et la liberté de choix laissée au consommateur, conformément à la position EDPB précitée qui s'attache à principalement évaluer la conditionnalité, le préjudice, les déséquilibres de pouvoir, la granularité, l'information et la facilité du retrait et d’indiquer, au détour de son avis, que « dans la plupart des cas » ces modèles ne permettent pas d’obtenir un consentement valide si l’alternative est seulement « consentir ou payer ».

Néanmoins, la position adoptée par l’EDPB dans son avis 08/2024 ne nous apparaît pas incompatible avec celle exprimée par la DVI en l’espèce dans la mesure où, pour l’EDPB, il s’agissait d’abord de consacrer que les données personnelles particulières (i.e. « sensibles » dans le langage courant) ne doivent pas être traitées comme des marchandises monnayables et conduire à ce que les personnes concernées soient contraintes de supporter un coût pour faire obstacle à l’exploitation de ces données personnelles spécifiques.

Ainsi, il s'agissait, à l'aune de la jurisprudence Bundeskartellamt (4 juillet 2023), d'ériger l'obligation, pour les responsables de traitement, de proposer sans frais des alternatives moins intrusives que celle consistant à consentir à ce que des opérations de profilage soient effectuées sans pouvoir s'y opposer sauf à rémunérer le responsable de traitement.

La solution apportée par l’EDPB a conduit ainsi à une « standardisation » (i.e. sans profilage) des publicités, sans frais, contrairement à ce que laissaient pourtant transparaître le §150 de l’arrêt précité dans lequel la CJUE a pu indiquer que « [les] utilisateurs doivent disposer de la liberté de refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation du service offert par l’opérateur du réseau social en ligne, ce qui implique que lesdits utilisateurs se voient proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données ». Le but étant, tant pour d’EDPB que pour la CNIL, de trouver un équilibre en vue de préserver le modèle économique de certains acteurs (la presse notamment pour la France, où l’usage des « cookies walls » est fréquent) en leur assurant une rémunération appropriée quant au service principal fourni (ex : fournir des informations de qualité, en toute indépendance), tout en préservant les droits des personnes concernées.

Or, non seulement le cas soumis à la DVI n'envisage pas d'opérations particulières de traitement (i.e. fondées sur des données particulières en vue d'exploiter des mécanismes de publicité ciblée), mais il ne fait pas obstacle au bénéfice du service principal : un achat en ligne.

Contextualisation au regard de la position traditionnellement stricte de la CNIL

Pour les entreprises françaises, il convient de rappeler que les orientations d'une autorité de protection des données nationale n'ont de véritable influence que dans l'État membre concerné. La position de la DVI, bien qu'intéressante quant à l'interprétation du RGPD dans l'environnement européen, ne lie pas la CNIL française, qui conserve sa propre marge d'interprétation des exigences européennes.

Traditionnellement, la CNIL adopte une approche particulièrement rigoureuse concernant les conditions de recueil du consentement des personnes concernées pour les traitements marketing.

Sanctions récentes de la CNIL concernant ce type de traitements

Cette position stricte de la CNIL s'est récemment illustrée dans plusieurs sanctions significatives. La sanction de 50 millions d'euros infligée à Orange le 14 novembre 2024 pour l'insertion non consentie de publicités dans les boîtes e-mail de ses utilisateurs en est un exemple qui nous paraît être révélateur de l'attention particulière que la CNIL adopte quant aux pratiques qui tentent de contourner l'exigence de consentement préalable, même lorsque les données personnelles des utilisateurs ne sont pas directement exploitées.

De même, cette rigueur spécifique ressort de la sanction de 80 000 euros infligée à CALOGA en mai 2025 qui fut l’occasion pour l'autorité française de faire part de sa franche opposition à l'utilisation de formulaires trompeurs qui, par leur présentation graphique, encourageaient (sinon manipulaient) les utilisateurs à accepter les communications commerciales sans permettre un véritable choix « libre et éclairé ».

Aussi, la formulation du mécanisme d'opt-in revêt également une importance cruciale. Conformément aux exigences de la CNIL, les entreprises doivent utiliser une case à cocher distincte, non précochée, accompagnée d'un libellé précis et compréhensible.

Par exemple : "Je consens à recevoir des communications commerciales par e-mail de [Nom de l'entreprise] à l'adresse indiquée. Je peux retirer mon consentement à tout moment via le lien de désinscription inclus dans chaque message."

Cette formulation doit être clairement séparée de l'acceptation des conditions générales ou de l'acte d'achat proprement dit.

La documentation du consentement représente une obligation fondamentale prévue à l'article 7 du RGPD et sur laquelle la CNIL porte également une attention spécifique. Ainsi, les entreprises doivent être en mesure de démontrer qu'elles ont recueilli un consentement valable dans les conditions requises (c’est le principe d’auditabilité ou d’accountability). Cette preuve doit inclure l'identifiant de l'utilisateur, l'adresse e-mail concernée, la date et l'heure précise de l'action de consentement, le texte exact présenté à l'utilisateur au moment du consentement, et idéalement des éléments techniques comme l'adresse IP et l'agent utilisateur. La conservation de ces éléments de preuve doit faire l'objet d'une politique documentée précisant les durées, formats et responsabilités.

Recommandations opérationnelles pour la mise en conformité

Les entreprises françaises qui souhaitent mettre en œuvre des stratégies incluant des incitations commerciales au consentement doivent donc adopter une approche prudente et rigoureuse. La première étape consistera à évaluer objectivement le caractère proportionné de l'incitation envisagée au regard de la nature du service et du profil des clients ciblés.

Conception de l'interface utilisateur

La conception de l'interface utilisateur devra en outre respecter scrupuleusement les principes établis par la CNIL. L'utilisation de techniques de conception trompeuses ("dark patterns") qui orientent subtilement (ou pas) le choix de l'utilisateur vers l'acceptation constituera sans conteste une ligne rouge à ne pas franchir. L'interface devra par exemple présenter de manière équilibrée les options d'acceptation et de refus, sans privilégier graphiquement l'une par rapport à l'autre (cf ci-dessous nos suggestions de formulaires de recueil de consentement).

Mécanismes de retrait du consentement

Aussi, le mécanisme de retrait du consentement devra rester conforme aux exigences tant de l'article L.34-5 du CPCE que de l'article 7 du RGPD ; le retrait doit être aussi simple que l'octroi initial du consentement. En ce sens, si le consentement a été recueilli par voie électronique en un clic, le retrait doit pouvoir s'effectuer par le même moyen et sans délai (et en tout état de cause dans le délai d’un mois maximum prévu à l’article 12 du RGPD) ; les entreprises devant mettre en place des mécanismes techniques permettant un traitement effectif et dans les meilleurs délais des demandes de désinscription/retrait de consentement.

Enfin, les aspects contractuels de la relation avec les partenaires et sous-traitants qui interviennent éventuellement dans le traitement des opérations (collecte du consentement et des données, envoi des courriels marketings, traitement des opt-out…) ne devront pas non plus être oubliés. Les responsables de traitement qui font appel à des courtiers en données ou à des partenaires pour leurs campagnes de prospection doivent s'assurer de la licéité des données utilisées et inclure des clauses contractuelles strictes garantissant le respect des obligations RGPD et la conformité du traitement avec les exigences de l’article 28 et de l’avis 22/2024 de l’EDPB.

Surveillance réglementaire et évolutions attendues

L'attention croissante portée par les autorités européennes aux pratiques de marketing direct se traduit notamment par un renforcement des contrôles et des sanctions. La CNIL a ainsi fait de la prospection commerciale une priorité de ses investigations depuis 2022, ce qui se reflète au demeurant dans l'augmentation du nombre de contrôles et la sévérité des sanctions infligées dans ce domaine.

Le maintien de cette vigilance sur ce secteur d’activité s'explique de toute évidence par la professionnalisation de l'écosystème du marketing direct et l'émergence de pratiques sophistiquées de nature à compromettre l'exercice effectif des droits des personnes concernées. Les autorités de contrôle portent une attention particulière aux intermédiaires qui revendent des données (data brokers) et aux mécanismes de collecte primaire qui conditionnent la validité de toute la chaîne de traitement ultérieure.

Par ailleurs, l'évolution réglementaire européenne, notamment avec la future remise en chantier (abandonné pour le moment) de la directive ePrivacy, ou encore le Digital Fairness Act (en préparation) pourrait conduire à une harmonisation renforcée des pratiques nationales. En attendant cette convergence, les entreprises opérant dans plusieurs États membres doivent adapter leurs pratiques aux exigences les plus strictes rencontrées sur leurs marchés d'activité respectifs.

Pour les entreprises françaises, cela implique de prendre pour référence les standards de la CNIL, reconnus comme étant parmi les plus exigeants d'Europe et de documenter scrupuleusement leurs analyses de conformité (avec l'aide de leur DPO notamment), avant tout nouveau traitement, incluant notamment (i.) une évaluation préalable de la proportionnalité de l'incitation, (ii.)une conception scrupuleuse des interfaces de recueil du consentement, (iii.)une documentation exhaustive des preuves de consentement et (iv.)une gestion efficace des mécanismes de retrait de consentement.

Conclusion

L'avis de la DVI du 19 août 2025 apporte ainsi des clarifications utiles sur une pratique marketing largement répandue mais peu documentée à notre connaissance. En adoptant une approche nuancée, qui essaye de trouver un équilibre entre incitation légitime et contrainte illicite, la DVI ouvre la voie à des stratégies commerciales prometteuses tout en préservant, à notre sens, les exigences fondamentales posées par le cadre normatif en vigueur au niveau européen.

Pour les entreprises françaises, cette position constitue un éclairage intéressant, bien qu'elle ne remplace pas la nécessité de se conformer aux standards stricts de la CNIL. L'évaluation de la proportionnalité des incitations, la qualité de l'information fournie aux personnes concernées et la facilité des mécanismes de retrait demeurent des éléments clés pour garantir la conformité de ces pratiques.