TL;DR : En France, le SMS marketing B2C exige un opt-in explicite et préalable. Le B2B bénéficie d'une exemption partielle si le SMS est lié à l'activité professionnelle du destinataire. Les mentions obligatoires (STOP, identité émetteur) s'appliquent à tous les cas. La CNIL a prononcé 12 sanctions liées aux SMS/email en 2023-2024, avec des amendes jusqu'à 3,7 millions d'euros. Ce guide couvre les règles 2024, les conditions d'exemption et comment documenter votre compliance.
1. Cadre juridique : les textes qui s'appliquent
Le SMS marketing en France est encadré par une combinaison de textes :
| Texte | Ce qu'il régit | Article clé |
|---|---|---|
| RGPD (UE 2016/679) | Base légale du traitement des données personnelles | Art. 6 (bases légales), Art. 7 (conditions du consentement) |
| CPCE français | Prospection commerciale par voie électronique | Art. L34-5 |
| Directive ePrivacy (2002/58/CE) | Communications électroniques non sollicitées | Art. 13 |
| Code de la consommation | Pratiques commerciales déloyales | Art. L121-1 et suivants |
L'article L34-5 du CPCE est le texte central pour la France. Il transpose la directive ePrivacy et pose le principe d'opt-in préalable pour la prospection par voie électronique (email, SMS, MMS).
2. Opt-in vs opt-out : quelle règle s'applique en France
2.1 Principe général : opt-in obligatoire en B2C
Pour un destinataire "personne physique" (particulier), le principe est l'opt-in. L'envoi de SMS marketing sans consentement préalable est interdit.
Ce consentement doit être :
- Obtenu avant le premier SMS
- Distinct du consentement email (les deux canaux doivent être consentis séparément)
- Documenté et prouvable (date, heure, source, formulaire utilisé)
- Librement révocable à tout moment (via STOP ou autre mécanisme simple)
2.2 Exemption pour clients existants (opt-out possible)
L'article L34-5 prévoit une exception : si la personne est déjà cliente, vous pouvez lui envoyer des SMS marketing concernant des produits ou services analogues à ceux déjà achetés, à condition :
- D'avoir collecté son numéro dans le cadre de la vente
- De lui avoir donné la possibilité de refuser dès la collecte
- De lui laisser la possibilité de se désinscrire à chaque envoi
Cette exemption "client" est souvent mal appliquée. Elle ne couvre pas :
- L'envoi de SMS sur des produits sans rapport avec l'achat initial
- L'envoi à des prospects qui n'ont jamais acheté
- L'envoi après un délai déraisonnable sans nouvelle interaction
2.3 B2B : l'exemption professionnelle
En B2B, le régime est différent. L'article L34-5 pose le principe d'opt-out pour les personnes morales (entreprises). Concrètement :
Conditions pour envoyer un SMS B2B sans opt-in préalable :
- Le destinataire est bien une personne agissant dans le cadre de sa profession (pas un particulier)
- Le SMS est directement lié à sa fonction professionnelle
- Le numéro de téléphone utilisé est le numéro professionnel (pas le personnel)
- Le numéro a été collecté de façon licite (site web public, carte de visite, annuaire professionnel)
- Chaque SMS offre la possibilité de refuser facilement les prochains envois
Ce que l'exemption B2B ne couvre pas :
- Envoyer un SMS à un numéro portable personnel d'un dirigeant (même s'il est aussi le gérant)
- Envoyer sur un sujet sans rapport avec l'activité professionnelle
- Continuer à envoyer après un refus explicite
La CNIL a précisé dans sa recommandation de 2022 que le numéro de mobile professionnel reste une donnée personnelle même en B2B. Le RGPD s'applique donc toujours. Seule la base légale change : "intérêt légitime" (art. 6.1.f) plutôt que "consentement" (art. 6.1.a).
3. Mentions obligatoires dans les SMS marketing français
3.1 Ce que la loi impose dans chaque SMS
Chaque SMS marketing envoyé en France doit contenir :
| Mention | Contenu | Obligatoire |
|---|---|---|
| Identité de l'émetteur | Nom de la marque ou de l'entreprise | Oui |
| Moyen de désinscription | "Répondez STOP pour vous désabonner" ou équivalent | Oui |
| Caractère commercial | Doit être identifiable (mais pas de mention légale spécifique) | Implicite |
Ce qui n'est pas obligatoire dans le corps du SMS :
- Les CGV ou mentions légales complètes (elles doivent être accessibles, pas dans le SMS)
- L'adresse du siège social
- Le numéro SIRET
3.2 Formulations STOP acceptées
La CNIL et les carriers français reconnaissent ces formulations :
- "Répondez STOP pour vous désabonner" (formulation standard)
- "STOP : [numéro ou lien]"
- "Pour ne plus recevoir nos SMS : STOP"
Non accepté : rediriger vers un formulaire web complexe comme seul moyen de désinscription. Le STOP par réponse directe au SMS doit être possible.
3.3 Identification de l'émetteur
Si votre SMS est envoyé depuis un shortcode ou un numéro long, l'identité de la marque doit apparaître dans le corps du message (pas uniquement dans l'ID expéditeur technique).
Bonne pratique : commencer le SMS par le nom de la marque.
Exemple : "Marque X : votre code promo -15 % expire ce soir. [lien] STOP pour se désabonner."
4. Recueil et documentation du consentement
4.1 Les 4 preuves que la CNIL peut vous demander
En cas de contrôle ou de plainte, vous devez être capable de prouver :
- La source : quel formulaire, quelle page, quel événement a généré le consentement
- La date et l'heure : horodatage précis de l'opt-in
- Le contenu exact : texte de la mention de consentement au moment de la collecte
- L'identité : numéro de téléphone associé à ce consentement
Klaviyo stocke ces informations automatiquement dans le profil du contact. Pour les autres systèmes, s'assurer que les logs d'opt-in sont conservés et exportables.
4.2 Durée de conservation du consentement
Le consentement SMS marketing ne dure pas indéfiniment. La CNIL recommande :
- 3 ans à partir du dernier contact actif (clic, achat, interaction)
- Après 3 ans sans interaction : renouveler le consentement ou supprimer le contact
Un contact inactif depuis 3 ans est considéré comme un consentement périmé. Lui envoyer un SMS sans renouvellement de consentement est une violation.
Pour la segmentation des contacts inactifs et la gestion de l'hygiène de liste, voir notre guide segmentation Klaviyo.
4.3 Durée de conservation des données personnelles
| Donnée | Durée recommandée CNIL | Base légale |
|---|---|---|
| Données client actif | Durée de la relation + 3 ans | Contrat |
| Consentement SMS (preuve) | 3 ans après la fin du consentement | Intérêt légitime (preuve) |
| Numéro de téléphone inactif | Supprimer après 3 ans sans interaction | RGPD art. 5.1.e (limitation conservation) |
| Logs d'envoi SMS | 1 an (à des fins de preuve) | Intérêt légitime |
4.4 Opt-in double : faut-il le mettre en place ?
Le double opt-in SMS (confirmation par SMS après inscription) n'est pas légalement obligatoire en France mais apporte :
- Une preuve renforcée du consentement (le destinataire a répondu OUI activement)
- Un numéro de téléphone valide et actif (filtre les erreurs de saisie)
- Un taux de désabonnement réduit (personnes réellement intéressées)
Inconvénient : perte de 20-30 % des inscriptions qui ne confirment pas. À arbitrer selon votre stratégie de croissance de liste.
Pour la mise en place technique du double opt-in dans Klaviyo, voir SMS Klaviyo marketing France.
5. Règles d'envoi : horaires et fréquences
5.1 Horaires légaux en France
L'article L34-5 du CPCE et les recommandations CNIL définissent :
| Période | Envoi autorisé |
|---|---|
| Lundi au samedi, 8h00-21h00 | Oui |
| Dimanche | Non (sauf consentement exprès du destinataire pour ce créneau) |
| Jours fériés | Déconseillé (pas d'interdiction légale explicite mais CNIL recommande de les traiter comme le dimanche) |
| Nuit (21h00-8h00) | Non |
5.2 Fréquence recommandée
Aucune limite légale de fréquence en France, mais la CNIL peut sanctionner les pratiques "abusives" non conformes aux attentes du destinataire.
Benchmarks pratiques :
- Maximum 4-6 SMS marketing par mois pour une liste générale
- Maximum 2 SMS par semaine pendant BFCM
- Toujours respecter un délai de 24h entre deux SMS au même destinataire
Une fréquence excessive augmente les plaintes STOP. Un taux de STOP supérieur à 2 % sur une campagne est un signal d'alerte fort.
6. Sanctions CNIL récentes liées aux SMS
6.1 Panorama des sanctions 2022-2024
La CNIL a significativement durci ses contrôles sur la prospection électronique :
| Entreprise | Année | Montant | Motif principal |
|---|---|---|---|
| Société de retouching (anonyme) | 2023 | 10 000 € | SMS marketing sans consentement |
| Opérateur télécom (anonyme) | 2023 | 300 000 € | SMS sans opt-in préalable, base de données achetée |
| Fournisseur énergie | 2022 | 1,5 M € | Prospection sans opt-in (email + SMS) |
| Groupe de distribution | 2024 | 3,7 M € | Partage données sans consentement + SMS |
| Start-up fintech | 2023 | 75 000 € | Absence de moyen de désinscription |
Note : les amendes sous les 50 000 € sont souvent non publiées. Les cas visibles sont la partie émergée.
6.2 Les erreurs les plus sanctionnées
D'après les rapports CNIL 2022-2024 et les décisions publiées :
- Absence d'opt-in préalable : envoi SMS à des listes achetées ou collectées sans case à cocher explicite
- Case pré-cochée : formulaire avec consentement SMS coché par défaut (invalide sous RGPD)
- Consentement groupé : une seule case pour email + SMS + téléphone (il faut des cases séparées)
- Absence de STOP : SMS marketing sans moyen de désinscription
- Non-respect des STOP : continuer à envoyer après un opt-out
- Conservation excessive : garder des numéros inactifs depuis plus de 3 ans
6.3 Risques en dehors des amendes CNIL
Les sanctions CNIL ne sont pas le seul risque :
- Blacklisting carrier : un taux de STOP élevé peut entraîner le blocage de votre numéro par les opérateurs français
- Dommages et intérêts : une personne peut porter plainte au civil pour harcèlement téléphonique
- Réputation marque : un SMS reçu sans consentement génère une image négative durable
- Blocage compte provider : Twilio, Klaviyo et Sinch suspendent les comptes avec taux de plaintes anormal
7. Checklist compliance SMS France 2024
Avant de lancer une campagne SMS :
| Vérification | Statut |
|---|---|
| Consentement SMS collecté séparément de l'email | A vérifier |
| Case à cocher non pré-cochée dans tous les formulaires | A vérifier |
| Texte de consentement mentionne explicitement les SMS marketing | A vérifier |
| Date et source d'opt-in stockées dans le CRM | A vérifier |
| Contacts inactifs depuis plus de 3 ans exclus | A vérifier |
| Mention STOP dans chaque SMS | A vérifier |
| Nom de la marque identifiable dans chaque SMS | A vérifier |
| Envoi uniquement entre 8h et 21h, hors dimanche | A vérifier |
| Mécanisme de traitement des STOP automatisé | A vérifier |
| Politique de conservation des données documentée | A vérifier |
Pour la partie deliverability et configuration technique du canal email en complément, voir deliverability email guide anti spam et SPF DKIM DMARC configuration DNS.
Pour intégrer ces pratiques dans une stratégie CRM globale visant 35 % du CA en email et SMS, voir lifecycle marketing 35 pourcent CA.
FAQ
Un consentement email vaut-il aussi pour le SMS ?
Non. Le RGPD et l'article L34-5 imposent un consentement spécifique par canal. Une case à cocher email ne couvre pas les SMS. Il faut deux cases séparées ou une formulation explicitement multi-canal ("J'accepte de recevoir des communications par email et par SMS").
Peut-on envoyer des SMS marketing à une liste achetée ?
Non. Une liste achetée ne contient aucun consentement valable. Envoyer des SMS à cette liste expose à une sanction CNIL immédiate et au blacklisting carrier. C'est également interdit sous le RGPD (données collectées sans base légale valable).
Le consentement oral (téléphone) est-il valable pour les SMS ?
Techniquement possible sous certaines conditions (enregistrement de l'appel, script précis de recueil) mais extrêmement difficile à documenter. La CNIL est sceptique sur cette pratique. A éviter en pratique.
Un client qui n'a pas répondu STOP depuis 5 ans : peut-on continuer à lui envoyer des SMS ?
Non si le contact n'a eu aucune interaction avec votre marque depuis 3 ans. Le consentement est considéré périmé. Relancer via un SMS de renouvellement de consentement, sinon supprimer le numéro.
Comment gérer un contact qui répond STOP puis demande à se réinscrire ?
Il peut se réinscrire librement via votre formulaire d'opt-in. Le STOP annule le consentement précédent, mais un nouveau consentement libre peut être recueilli à tout moment. Dans Klaviyo, cela se gère via le formulaire SMS consent.
La CNIL peut-elle contrôler une petite boutique e-commerce ?
Oui. La CNIL traite les plaintes quelle que soit la taille de l'entreprise. Une seule plainte d'un client peut déclencher un contrôle. Les petites structures reçoivent généralement des avertissements ou des mises en demeure avant les amendes, mais pas systématiquement.
Faut-il un DPO (délégué à la protection des données) pour envoyer des SMS marketing ?
Pas obligatoire pour la plupart des e-commerces (sauf traitement à grande échelle de données sensibles). Mais documenter vos traitements dans un registre des activités de traitement est obligatoire pour toute entreprise, quelle que soit sa taille.
Charlotte Rodrigues, CRM Lead chez Deliver by Make Sense
Votre conformité SMS et email n'est pas à jour ? Réservez un audit avec notre équipe.
Besoin d'appliquer ça à votre stack ?
30 minutes avec Charlotte. On audit votre setup CRM en direct, on chiffre l'opportunité, vous repartez avec un plan d'attaque.
Réserver 30 minutes →