Aller au contenu principal
Tous les articlesConformité

RGPD et collecte d'avis SMS : ce que dit vraiment la CNIL

Le cadre réel pour solliciter un avis par SMS en France — consentement, mentions obligatoires, durée de conservation, et les zones grises souvent négligées.

24 juin 20268 minpar Équipe Reputup

Solliciter un avis par SMS est l'un des canaux les plus efficaces pour les commerces et la restauration. C'est aussi l'un des plus exposés à la CNIL : la collecte du numéro et l'envoi d'un SMS commercial entrent dans le champ de la directive ePrivacy + RGPD. Voici le cadre, sans ambiguïté.

Un SMS de demande d'avis = prospection commerciale

La CNIL l'a confirmé explicitement dans ses recommandations sur la prospection : un SMS qui invite le client à laisser un avis sur une plateforme externe est considéré comme une communication commerciale, même si vous ne vendez rien directement. Conséquence : opt-in préalable obligatoire dans le cas général.

Trois cas distincts :

Cas 1 : Client B2C, sollicitation par SMS sur un produit/service similaire

Opt-in pré-coché interdit. Le client doit avoir explicitement consenti à recevoir vos communications commerciales. Sa case de consentement doit être non pré-cochée et la finalité « réception d'invitations à laisser un avis » doit être listée explicitement dans la mention de consentement.

Cas 2 : Client B2C avec achat antérieur (soft opt-in)

L'article L. 34-5 du Code des postes et communications électroniques autorise la sollicitation sans opt-in explicite si :

  • le destinataire est un client existant (a déjà acheté),
  • la communication concerne des produits ou services analogues à ceux fournis,
  • le destinataire a été informé qu'il pouvait s'opposer à ces communications lors de la collecte initiale de ses coordonnées,
  • chaque message lui rappelle ce droit (mention de désinscription).

Pour une demande d'avis post-achat sur le même service que celui consommé, la plupart des juristes RGPD considèrent que le soft opt-in s'applique. Mais c'est une zone grise : la CNIL ne s'est pas prononcée explicitement.

Cas 3 : Professionnels (B2B)

Le soft opt-in est plus large : on peut solliciter un professionnel sur son email/téléphone professionnel pour des produits liés à son activité, sans opt-in explicite, à condition de mentionner le droit d'opposition. Pour le SMS B2B, l'usage est plus contesté — beaucoup d'avocats RGPD recommandent l'opt-in explicite par prudence.

Les mentions obligatoires dans le SMS

Tout SMS de demande d'avis doit comporter :

  • Identité de l'émetteur (nom commercial visible).
  • Lien ou mécanisme de désinscription (STOP, ou lien web). Doit être gratuit pour le destinataire.
  • Objet clair : le destinataire doit comprendre pourquoi il reçoit ce SMS et de qui.

Exemple conforme :

Restaurant Le Vésuve. Merci pour votre venue hier ! Si vous avez 30 sec, partagez votre avis : g.page/r/xxxx. STOP au 36180 pour ne plus recevoir.

Le consentement : qu'est-ce qu'on doit prouver ?

Le RGPD impose une traçabilité du consentement : vous devez pouvoir prouver, à toute demande de la CNIL, qui a consenti, quand, par quel moyen, et pour quelles finalités. Concrètement :

  • Horodatage du consentement.
  • Texte exact qui a été présenté au client (capture du formulaire).
  • Mode de recueil (case cochée web, formulaire papier signé, etc.).
  • Finalités listées (« réception d'invitations à laisser un avis sur Google » doit y figurer explicitement, pas juste « communications commerciales »).

Sans cette traçabilité, la CNIL considère que le consentement n'a pas été valablement recueilli.

Durée de conservation des numéros

Le numéro de téléphone ne peut être conservé que le temps nécessaire à la finalité. Pour la sollicitation d'avis post-achat :

  • 3 ans après la dernière interaction est la durée généralement admise pour la prospection commerciale (recommandation CNIL).
  • Après 3 ans sans réaction du client, le numéro doit être supprimé ou anonymisé.

Si le client se désinscrit (STOP, opposition explicite) : son numéro doit être conservé en liste d'opposition (pour ne plus le solliciter), mais retiré de la base de prospection active.

Les sanctions encourues

La CNIL a sanctionné plusieurs entreprises pour prospection SMS sans consentement valable :

  • Amendes administratives jusqu'à 4 % du chiffre d'affaires mondial annuel (plafond RGPD).
  • En pratique, les amendes médianes pour PME sont entre 5 000 et 50 000 €, avec injonction de mise en conformité sous 2 mois.
  • Action de groupe possible depuis la loi sur la justice du XXIe siècle (associations de consommateurs).

Le risque indirect : Google

Même si la CNIL ne vous sanctionne pas, un client mécontent peut signaler la pratique à Google. L'envoi massif de SMS sans opt-in valable est interprété par Google comme une « practice that artificially boosts review volume » et peut entraîner la suppression rétroactive de tous les avis collectés. Risque double.

Ce que Reputup vous garantit

  • Recueil du consentement explicite intégré au parcours client (case non pré-cochée, finalité listée, horodatage).
  • Liste d'opposition automatique : tout STOP est traité automatiquement, sans intervention manuelle, et conservé en liste anti-prospection.
  • Purge automatique à 3 ans : les numéros sans interaction depuis 3 ans sont anonymisés.
  • DPA signé sur demande, hébergement Union Européenne, registre des traitements partagé.
  • Refus du review gating : aucune mécanique de filtrage avant publication, conformité Fake Engagement Policy Google et directive Omnibus garantie.
Essai gratuit 7 jours

Mettez en pratique. Sans carte bancaire.

REPUTUP collecte, analyse et répond à vos avis sur 21+ plateformes. 7 jours d'accès complet, sans engagement.

Commencer mon essai gratuitVoir les tarifs
Sans carte bancaireSatisfait ou remboursé 30 jAnnulable en 1 clic