La collecte d’emails sans consentement désigne l’extraction, l’agrégation ou l’utilisation d’adresses électroniques sans autorisation explicite, libre, spécifique, éclairée et univoque de la personne concernée conformément à l’article 4(11) du RGPD.
Concrètement, cela inclut :
- Le scraping automatisé d’emails depuis des sites web ou annuaires
- L’achat de fichiers de prospection non qualifiés
- L’extraction d’emails via des outils type Hunter.io/Email Extractor sans vérification du consentement préalable
- L’utilisation d’emails trouvés « en clair » sur un site sans passer par un formulaire de contact explicite
Cadre juridique RGPD (France/Europe)
| Article | Obligation | Violation par collecte non consentie |
|---|---|---|
| Art. 6 | Base légale requise pour tout traitement (consentement, exécution contrat, intérêt légitime avec balancing test) | Absence de base légale → traitement illégal |
| Art. 7 | Consentement doit être révocable, avec preuve de son obtention | Impossible de prouver le consentement si collecté via scraping |
| Art. 5(1)a | Licéité, loyauté, transparence | Extraction cachée = traitement non loyal |
| Art. 32 | Sécurité des données | Fichiers non chiffrés = risque de fuite massive |
| ePrivacy (directive 2002/58/CE) | Interdiction d’envoi d’emails commerciaux sans consentement préalable (opt-in) | Cold emailing = infraction pénale en France (art. L34-5 CPI) |
Sanctions CNIL :
- Amende administrative : jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial annuel (art. 83(5) RGPD)
- Exemple concret : en 2023, la CNIL a sanctionné une société de 50 000 € pour prospection email sans consentement (Décision n° SAN-2023-008)