Retour à la vue d'ensemble
NewsletterDouble opt-inLCD

Newsletter conforme à la LPD : bien mettre en œuvre le double opt-in en Suisse

Le double opt-in est-il obligatoire en Suisse ? Pas expressément — mais qui ne peut pas prouver le consentement a un problème en cas de litige. Ce que l'art. 3 LCD exige vraiment, quand l'exception pour clients existants s'applique et comment configurer proprement l'inscription à la newsletter.

Aiara Team··8 min de lecture
Newsletter conforme à la LPD : bien mettre en œuvre le double opt-in en Suisse

«Nous avons les adresses du salon — ajoutons-les simplement à la liste de diffusion.» Cette phrase revient étonnamment souvent dans les PME suisses. Et c'est le chemin le plus direct vers une plainte pour spam, car sans consentement, la publicité de masse par e-mail est déloyale en Suisse — et, sur plainte, même punissable.

En parallèle circule l'affirmation inverse comme demi-savoir : «Le double opt-in est obligatoire.» Ce n'est pas exact non plus. Ce que la loi exige réellement, où s'applique l'exception pour clients existants et pourquoi le double opt-in reste malgré tout la seule voie raisonnable — un guide pratique.

Quelle loi régit l'envoi de newsletters en Suisse ?

La règle centrale pour les newsletters ne se trouve pas dans la loi sur la protection des données, mais dans la loi fédérale contre la concurrence déloyale (LCD). L'art. 3 al. 1 let. o LCD déclare déloyale la publicité de masse par e-mail, SMS ou autres voies de télécommunication lorsque trois conditions ne sont pas remplies :

  1. Consentement préalable des destinataires,
  2. indication correcte de l'expéditeur — pas d'expéditeur dissimulé ou falsifié,
  3. mention d'une possibilité de refus simple et gratuite dans chaque message.

Les trois conditions doivent être remplies simultanément. Une newsletter avec consentement mais sans lien de désinscription est tout aussi déloyale qu'une newsletter sans consentement. Les infractions sont punissables sur plainte selon l'art. 23 LCD — d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.

En parallèle s'applique la loi fédérale sur la protection des données (LPD) : les adresses e-mail sont des données personnelles, et le devoir d'informer selon l'art. 19 LPD exige que vous informiez sur le traitement. Concrètement : votre politique de confidentialité doit contenir une section newsletter — quel outil d'envoi vous utilisez, où circulent les données, combien de temps elles sont conservées.

Quand l'exception pour clients existants s'applique-t-elle ?

Le consentement n'est pas nécessaire dans tous les cas — la LCD prévoit une exception expresse pour les clients existants. Qui obtient des coordonnées lors de la vente de ses propres marchandises ou prestations peut envoyer de la publicité à ces clients même sans consentement, à quatre conditions :

  • Les coordonnées proviennent d'un achat effectif, pas d'une simple demande ou d'une conversation de salon.
  • Vous avez signalé la possibilité de refus dès la collecte — par exemple par une phrase dans le processus de commande.
  • La publicité ne concerne que vos propres marchandises ou prestations analogues. Qui a vendu des cartouches d'imprimante peut promouvoir des accessoires d'imprimante — mais pas les assurances d'un partenaire.
  • Chaque message contient toujours la possibilité de désinscription gratuite.

L'exception est plus étroite qu'elle n'en a l'air. Cartes de visite d'un salon, listes de participants d'un webinaire, demandes via formulaire de contact — rien de tout cela n'est un achat et rien n'en relève. En cas de doute : obtenez le consentement. C'est la voie la plus robuste, et envers les destinataires à l'étranger, c'est de toute façon la seule base viable.

Le double opt-in est-il obligatoire en Suisse ?

Non — le droit suisse ne connaît pas d'obligation expresse de double opt-in. La LCD exige un consentement, mais ne prescrit aucune procédure particulière pour son obtention. Qui affirme que la loi impose la procédure de confirmation est imprécis. Cette honnêteté fait partie d'un conseil sérieux.

Mais — et ce «mais» est décisif : qui se prévaut d'un consentement doit pouvoir le prouver en cas de litige. Et c'est exactement là qu'échoue la procédure d'inscription simple (single opt-in). Si quelqu'un saisit l'adresse e-mail d'un tiers dans votre formulaire, le titulaire se retrouve sur la liste sans avoir rien fait — et vous n'avez aucune preuve que le consentement vient de lui. Une entrée dans votre base de données prouve seulement que quelqu'un a tapé l'adresse.

La procédure de double opt-in comble cette lacune : après l'inscription, l'adresse reçoit un e-mail de confirmation, et seul le clic sur le lien de confirmation active l'abonnement. Le clic documenté prouve que le titulaire effectif de la boîte aux lettres a accepté. C'est pourquoi le double opt-in est en Suisse la meilleure pratique pour la préservation des preuves — pas une obligation légale, mais le seul moyen de documenter le consentement de manière solide.

S'y ajoute le regard au-delà de la frontière : en Allemagne, la jurisprudence a fait du double opt-in le standard de fait. Qui envoie dans l'espace germanophone — et quelle liste suisse ne le fait pas — ne peut de toute façon pas contourner la procédure.

Que s'applique-t-il aux destinataires de newsletters dans l'UE ?

Dès que vous adressez délibérément votre newsletter à des personnes dans l'UE, le Règlement général sur la protection des données (RGPD) entre en jeu — même pour une entreprise suisse sans établissement dans l'UE. Pour l'envoi de newsletters, cela signifie concrètement :

  • Le consentement doit être libre, éclairé et univoque (art. 4 ch. 11, art. 6 par. 1 let. a RGPD).
  • L'art. 7 par. 1 RGPD rend la charge de la preuve explicite : le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti. Ce qui est meilleure pratique en Suisse est ici une obligation formulée noir sur blanc.
  • L'interdiction du couplage (art. 7 par. 4 RGPD) interdit de conditionner une prestation contractuelle à un consentement qui n'est pas nécessaire.
  • Le retrait doit être aussi simple que l'octroi (art. 7 par. 3 RGPD).

En pratique, une liste à deux vitesses avec des règles différentes pour les adresses suisses et de l'UE ne vaut pas la peine. Travaillez dès le départ selon le standard RGPD, plus strict — les deux ordres juridiques sont alors couverts. Ce que le règlement signifie par ailleurs pour les entreprises suisses est résumé dans notre guide sur le RGPD pour les entreprises suisses.

Comment mettre en œuvre proprement le double opt-in ?

Un double opt-in juridiquement solide se compose de quatre éléments : formulaire d'inscription, e-mail de confirmation, journal des consentements et lien de désinscription.

1. Le formulaire d'inscription. Pas de cases précochées — un consentement déjà coché n'en est pas un. Pas de couplage : qui télécharge un livre blanc ne doit pas atterrir automatiquement dans la newsletter ; la case newsletter reste optionnelle et intacte. Dites de manière transparente ce que signifie l'inscription : quels contenus, à quelle fréquence approximative, avec un lien vers la politique de confidentialité. Et ne collectez que le nécessaire — pour une newsletter, l'adresse e-mail suffit ; nom et entreprise sont des champs facultatifs.

2. L'e-mail de confirmation. Il a exactement une mission : faire confirmer l'inscription. Un objet neutre, une phrase d'explication, le lien de confirmation — pas de publicité, pas d'offres, pas d'images de produits. Un e-mail de confirmation promotionnel envoyé à une adresse dont le consentement n'est pas encore établi est lui-même de la publicité sans consentement. Qui ne clique pas ne reçoit rien — pas même un «rappel».

3. Le journal des consentements. Documentez par abonné : horodatage de l'inscription, horodatage du clic de confirmation, les adresses IP des deux étapes et le texte du formulaire dans la version en vigueur à ce moment-là. Les outils d'envoi courants enregistrent automatiquement horodatage et IP — le texte du formulaire, vous devez le versionner vous-même. C'est ce journal qui transforme la procédure en preuve.

4. Le lien de désinscription. Dans chaque e-mail, gratuit, sans connexion obligatoire et sans obstacles de relance. La désinscription prend effet immédiatement — «la suppression peut prendre jusqu'à 14 jours» ne se justifie techniquement par rien en 2026. Le lien de désinscription est en outre l'une des trois conditions de base de la LCD : s'il manque, l'envoi même à des destinataires ayant correctement consenti est déloyal.

Checklist : configurer le consentement à la newsletter en toute sécurité

La version courte à cocher :

  • Formulaire d'inscription sans cases précochées
  • Consentement à la newsletter découplé des autres prestations (pas de couplage)
  • Indication transparente du contenu et de la fréquence, lien vers la politique de confidentialité
  • Seule l'adresse e-mail comme champ obligatoire
  • E-mail de confirmation neutre, sans publicité
  • Envoi uniquement après le clic de confirmation
  • Journal : horodatage, adresse IP, texte du formulaire avec version
  • Lien de désinscription dans chaque e-mail, à effet immédiat
  • Exception pour clients existants uniquement pour de vrais achats et des produits propres analogues
  • Section newsletter dans la politique de confidentialité (outil, flux de données, durée de conservation)

Quel rapport avec la politique de confidentialité ?

La newsletter doit impérativement figurer dans votre politique de confidentialité — le consentement dans le formulaire ne remplace pas le devoir d'informer selon la LPD. La section nomme l'outil d'envoi utilisé (par exemple Brevo ou Mailchimp), l'emplacement des serveurs avec un éventuel transfert à l'étranger, la finalité, la durée de conservation et le droit de retrait. La structure d'une politique complète est présentée dans notre guide sur la politique de confidentialité pour sites suisses.

L'idée de fond est la même que pour la bannière cookies : un consentement ne vaut que ce que vaut sa preuve. Chez Aiara, ce principe est intégré — les consentements aux cookies de vos visiteurs sont consignés de manière infalsifiable, et le générateur de textes juridiques crée en même temps la section newsletter de votre politique de confidentialité, adaptée à l'outil d'envoi que vous indiquez dans le questionnaire. La documentation reste ainsi cohérente : une seule configuration, tous les consentements démontrables.

Questions fréquentes

Le double opt-in est-il légalement obligatoire en Suisse ?

Non, pas expressément. La loi contre la concurrence déloyale exige un consentement préalable pour la publicité de masse par e-mail, mais ne prescrit aucune procédure particulière. Comme l'expéditeur doit prouver en cas de litige que le consentement existe, le double opt-in reste néanmoins le standard : seul le clic de confirmation documenté prouve que l'inscription provient réellement du titulaire de l'adresse e-mail.

Que risque-t-on en envoyant une newsletter sans consentement ?

L'envoi de publicité de masse sans consentement constitue de la concurrence déloyale selon l'art. 3 al. 1 let. o LCD. Sur plainte, il est punissable selon l'art. 23 LCD — d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire. S'y ajoutent les prétentions civiles des personnes concernées et le dommage réputationnel : les plaintes pour spam dégradent la délivrabilité de tous les envois futurs.

Puis-je envoyer une newsletter à mes clients existants sans consentement ?

Oui, à quatre conditions : vous avez obtenu les coordonnées lors de la vente de vos propres marchandises ou prestations, vous avez signalé à ce moment-là la possibilité de refus, vous ne faites de la publicité que pour vos propres produits analogues, et chaque e-mail contient une possibilité de désinscription simple et gratuite. Si l'une de ces conditions manque, il vous faut le consentement.

Que dois-je consigner pour le consentement à la newsletter ?

Au minimum : le moment de l'inscription, le moment du clic de confirmation, les adresses IP des deux étapes ainsi que le texte du formulaire d'inscription dans la version en vigueur à ce moment-là. Ce n'est qu'avec ces éléments que vous pourrez démontrer des années plus tard qui a consenti à quoi et quand — exactement ce qu'exige la charge de la preuve, et même expressément sous le Règlement général sur la protection des données.

Le RGPD s'applique-t-il à ma newsletter suisse ?

Dès que vous ciblez délibérément des destinataires dans l'UE, oui. S'appliquent alors les exigences de consentement des art. 6 et 7 RGPD : libre, éclairé, univoque — avec une obligation explicite pour le responsable du traitement de démontrer le consentement. Comme la plupart des listes de diffusion suisses contiennent aussi des adresses de l'UE, le plus simple en pratique est de travailler dès le départ selon le standard RGPD, plus strict.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara