L'email marketing reste l'un des canaux les plus efficaces pour les PME suisses — mais c'est aussi l'un des plus encadrés juridiquement. Entre la nouvelle Loi fédérale sur la protection des données (nLPD) et la Loi contre la concurrence déloyale (LCD), envoyer une newsletter sans respecter les règles expose votre entreprise à des plaintes, des sanctions pénales et une atteinte durable à votre réputation. Ce guide vous explique exactement ce que la loi exige, ce qu'elle recommande, et comment mettre en place une pratique conforme de A à Z.
Le cadre légal suisse : nLPD et LCD
En Suisse, l'email marketing est régi par deux textes distincts qui s'appliquent simultanément.
La nLPD (entrée en vigueur le 1er septembre 2023, fedlex.admin.ch) encadre le traitement des données personnelles. Dès que vous collectez une adresse e-mail, vous traitez une donnée personnelle au sens de l'art. 5 nLPD. Cela déclenche l'ensemble des obligations de transparence, de finalité et de consentement prévues par la loi.
La LCD (art. 3 al. 1 lit. o LCD) interdit le spam de manière explicite. Elle qualifie de déloyal le fait d'envoyer des messages publicitaires de masse par voie électronique sans le consentement préalable du destinataire, ou sans lui permettre de refuser facilement de nouveaux envois. Cette disposition s'applique indépendamment de la nLPD et peut être invoquée directement par les destinataires, les concurrents ou les associations de protection des consommateurs.
La combinaison de ces deux textes signifie que l'opt-in est obligatoire pour l'email marketing en Suisse — il ne s'agit pas d'une simple recommandation de bonnes pratiques.
Consentement : opt-in obligatoire, avec une exception B2B
B2C : opt-in préalable requis
Pour tout envoi commercial à des particuliers (consommateurs), vous devez obtenir un consentement explicite préalable avant le premier envoi. Ce consentement doit être :
- Libre : l'inscription à la newsletter ne peut pas être conditionnée à l'achat d'un produit ou à l'accès à un service
- Éclairé : la personne doit savoir exactement ce à quoi elle souscrit (type de contenu, fréquence, expéditeur)
- Spécifique : un consentement général aux CGU ne vaut pas consentement à recevoir des emails marketing
- Non ambigu : une case précochée est insuffisante — la personne doit effectuer une action positive
B2C : le "soft opt-in" pour les clients existants
La LCD prévoit une exception pour les relations commerciales existantes. Si une personne vous a acheté un produit ou service similaire à ce que vous allez promouvoir, et que vous lui avez fourni la possibilité de refuser la publicité lors de la collecte de son adresse, vous pouvez lui envoyer des offres de ce type sans nouveau consentement explicite. C'est ce qu'on appelle le soft opt-in.
Conditions cumulatives du soft opt-in :
- La personne est votre cliente (achat effectif, pas simple prospect)
- Le contenu promu est similaire à ce qu'elle a acheté
- Vous avez proposé un opt-out au moment de la collecte
- Chaque envoi contient un lien de désabonnement
En pratique, le soft opt-in est plus risqué qu'il n'y paraît : les conditions sont strictement interprétées, et la charge de la preuve repose sur vous.
B2B : règles plus souples, mais pas inexistantes
Pour les emails adressés à des professionnels (adresses e-mail d'entreprise), le cadre est légèrement plus souple. La LCD tolère une certaine prospection commerciale B2B dès lors qu'elle est pertinente par rapport à l'activité du destinataire et que chaque message offre la possibilité de se désabonner. Toutefois, la nLPD s'applique toujours : les adresses e-mail professionnelles restent des données personnelles lorsqu'elles identifient directement une personne (prenom.nom@entreprise.ch).
Le double opt-in : pas obligatoire, mais indispensable
La nLPD et la LCD n'imposent pas formellement le double opt-in (envoi d'un email de confirmation que le destinataire doit valider avant d'être inscrit). Pourtant, la quasi-totalité des experts suisses en conformité le recommandent fortement, pour plusieurs raisons :
- Preuve de consentement : le double opt-in crée un enregistrement horodaté et traçable que vous pouvez produire en cas de litige ou de contrôle
- Qualité de la liste : il élimine les fausses adresses, les fautes de frappe et les inscriptions frauduleuses
- Délivrabilité : une liste de qualité réduit votre taux de rebond et protège votre réputation d'expéditeur
- Protection contre l'usurpation : sans double opt-in, quelqu'un peut inscrire l'adresse d'un tiers sans son accord
Sans double opt-in, votre consentement est plus difficile à prouver. En cas de plainte LCD ou de requête du Préposé fédéral à la protection des données et à la transparence (PFPDT), vous devrez démontrer que l'inscription était volontaire et éclairée.
Mentions obligatoires dans chaque email commercial
Chaque message marketing que vous envoyez doit impérativement contenir :
| Élément | Détail |
|---|---|
| Identité de l'expéditeur | Raison sociale, adresse postale complète — pas seulement un nom de domaine |
| Lien de désabonnement | Fonctionnel, visible, traité dans un délai raisonnable (max. 10 jours ouvrés en pratique) |
| Lien vers la politique de confidentialité | Ou au minimum une mention du traitement des données |
| Objet non trompeur | L'objet ne doit pas induire en erreur sur le contenu ou l'expéditeur (LCD art. 3 lit. b) |
L'absence de lien de désabonnement ou d'identification claire de l'expéditeur constitue une violation directe de la LCD, indépendamment de toute question de consentement.
Politique de confidentialité : ce qui doit y figurer
Si vous faites de l'email marketing, votre politique de confidentialité doit explicitement mentionner cette activité. En application de l'art. 19 nLPD (obligation d'informer), vous devez y préciser :
- La finalité : envoi de newsletters et communications commerciales
- La base juridique : consentement (ou intérêt légitime pour le B2B, à documenter)
- Les catégories de données : adresse e-mail, prénom, comportement (ouvertures, clics) si tracké
- Les destinataires tiers : nom de votre outil d'emailing (Mailchimp, Brevo, etc.)
- La durée de conservation : jusqu'au désabonnement, puis pendant combien de temps vous conservez les logs
- Le droit de retrait du consentement et comment l'exercer
Les enregistrements de consentement (qui a consenti, quand, via quel formulaire, avec quel texte) doivent être conservés. En cas de litige, c'est vous qui devez prouver le consentement — pas le destinataire qui doit prouver son absence.
Formulaires d'inscription : transparence dès la collecte
Le formulaire d'inscription à votre newsletter est le premier point de contact légal. Il doit respecter plusieurs règles :
Informations à fournir au moment de l'inscription :
- Qui collecte les données (votre raison sociale)
- À quelle fin (newsletter marketing, promotions, actualités — soyez précis)
- À quelle fréquence approximative
- Vers quel outil les données seront transmises (ex. : "Vos données sont traitées par Brevo SAS, France")
- Comment se désabonner
Ce que vous ne pouvez pas faire :
- Pré-cocher la case d'inscription à la newsletter
- Conditionner l'accès à un contenu téléchargeable à l'inscription à la newsletter sans alternative
- Collecter plus de données que nécessaire (principe de minimisation, art. 6 al. 2 nLPD)
Un simple lien "Politique de confidentialité" à proximité du formulaire ne suffit pas — les informations essentielles doivent être visibles sans que l'utilisateur ait besoin de cliquer ailleurs.
Outils tiers : Mailchimp, Brevo et les transferts de données
La grande majorité des PME suisses utilisent des outils d'emailing étrangers. Ces outils impliquent un transfert de données personnelles hors de Suisse, ce qui déclenche des obligations spécifiques sous la nLPD (art. 16–17).
Prestataires américains (Mailchimp, Klaviyo, HubSpot, Constant Contact)
Les États-Unis ne figurent pas sur la liste des pays offrant une protection adéquate reconnue par le PFPDT. Le transfert de votre liste e-mail vers un serveur américain nécessite des garanties contractuelles appropriées, typiquement :
- Les clauses contractuelles types (CCT) suisses ou européennes, ou
- Des règles d'entreprise contraignantes (BCR)
En pratique, la plupart de ces outils proposent un Data Processing Agreement (DPA) incluant des SCCs. Vous devez le signer et en conserver la trace. Ce n'est pas automatique — vous devez activer le DPA dans les paramètres de votre compte ou le signer séparément.
De plus, vous devez mentionner ce transfert dans votre politique de confidentialité avec le nom du prestataire, le pays de destination et la base du transfert.
Prestataires européens (Brevo/Sendinblue, Mailjet)
Les pays de l'UE/EEE bénéficient d'une reconnaissance de protection adéquate de la part du PFPDT. Le transfert vers un prestataire hébergé en France ou en Allemagne est donc plus simple à justifier, à condition que le DPA soit en place.
Alternatives hébergées en Suisse
Pour les entreprises qui souhaitent garder leurs listes d'abonnés en Suisse, plusieurs options existent :
- Infomaniak Newsletter (Genève) — hébergement suisse, conformité nDSG/nLPD native, pricing transparent
- Mautic auto-hébergé sur infrastructure Infomaniak ou Exoscale — solution open source, contrôle total
- Proca — outil suisse orienté engagement citoyen
L'hébergement suisse simplifie la conformité (pas de transfert international à justifier) mais ne vous dispense pas des autres obligations : consentement, mentions obligatoires dans les emails, politique de confidentialité.
Listes achetées : presque toujours illégales
L'achat de listes d'adresses e-mail est une pratique que le droit suisse condamne dans la quasi-totalité des cas. Voici pourquoi :
- Les personnes sur ces listes n'ont pas consenti à recevoir vos communications spécifiquement — leur consentement éventuel a été donné à un tiers pour une finalité différente
- Le vendeur de liste ne peut pas vous transférer un consentement valide sous la nLPD : le consentement est personnel et non cessible
- L'envoi à ces adresses viole l'art. 3 lit. o LCD dès le premier message
- Vous risquez également des sanctions de votre fournisseur d'emailing (suspension de compte) et une dégradation sévère de votre délivrabilité
L'argument "la liste provient d'une source fiable" ne tient pas juridiquement. La seule liste légale est celle que vous avez construite vous-même, avec le consentement explicite de chaque personne inscrite.
Pixels de suivi et tracking des liens : le consentement s'applique aussi
La plupart des outils d'emailing activent par défaut le suivi des ouvertures (pixel de tracking) et le suivi des clics (liens redirigés). Ces fonctionnalités constituent un traitement de données personnelles comportementales.
Sous la nLPD, la collecte de données comportementales via l'email marketing requiert :
- Une information claire dans la politique de confidentialité (quelles données sont collectées, à quelle fin)
- Un consentement si ces données sont utilisées à des fins de profilage au sens de l'art. 5 lit. f nLPD
En pratique, si vous utilisez le tracking uniquement pour des statistiques agrégées internes (taux d'ouverture global, taux de clic global), vous pouvez vous appuyer sur l'intérêt légitime à condition de l'avoir documenté et de l'avoir mentionné dans votre politique. Si vous utilisez ces données pour du profilage individuel ou de la segmentation comportementale fine, le consentement explicite est requis.
La mention dans les emails que "cet email contient un pixel de suivi" n'est pas formellement exigée par la nLPD, mais elle est considérée comme bonne pratique et peut éviter des plaintes.
Récapitulatif : B2C vs B2B
| Aspect | B2C (particuliers) | B2B (professionnels) |
|---|---|---|
| Opt-in requis | Oui, opt-in explicite préalable | Tolérance pour la prospection pertinente, opt-in recommandé |
| Soft opt-in | Possible pour clients existants (conditions strictes) | Plus souple, mais objet doit être en lien avec l'activité |
| Double opt-in | Fortement recommandé | Recommandé |
| Lien désabonnement | Obligatoire | Obligatoire |
| nLPD applicable | Oui | Oui (adresses nominatives) |
| LCD applicable | Oui | Oui |
Questions fréquentes
Puis-je envoyer une newsletter à mes anciens clients sans nouveau consentement ? Cela dépend. Le soft opt-in s'applique si le produit promu est similaire à ce qu'ils ont acheté et si vous avez proposé un opt-out lors de la collecte. En cas de doute, demandez une confirmation — c'est l'approche la plus sûre.
Que faire si quelqu'un se désabonne ? Supprimez son adresse de votre liste active dans un délai raisonnable (10 jours ouvrés au maximum). Vous pouvez conserver son adresse dans une "liste noire" pour éviter de lui réécrire par erreur, mais vous ne pouvez plus lui adresser de communications commerciales.
Mon CRM importe automatiquement des contacts depuis LinkedIn ou d'autres sources — est-ce légal ? Non, dans la grande majorité des cas. Le fait qu'une adresse soit publiquement accessible ne vaut pas consentement à recevoir vos newsletters.
La nLPD s'applique-t-elle si j'envoie depuis l'étranger à des personnes en Suisse ? Oui. La nLPD a un effet extraterritorial similaire au RGPD : elle s'applique dès que vous traitez des données de personnes résidant en Suisse, quelle que soit votre localisation.
Avant d'envoyer votre prochaine newsletter, commencez par savoir ce que votre site collecte réellement. Analysez votre site gratuitement avec PrivaScan : en quelques minutes, vous identifiez les traceurs actifs, les scripts tiers et les non-conformités nLPD qui pourraient fragiliser l'ensemble de votre démarche marketing.