En 2003, le Congrès américain a adopté la loi CAN-SPAM, établissant les premières normes nationales pour l'email commercial. Deux décennies plus tard, elle reste la principale loi fédérale encadrant le marketing par email aux États-Unis.
CAN-SPAM est souvent mal comprise. Elle n'exige pas d'autorisation avant d'envoyer un email (contrairement au GDPR). Elle n'interdit pas le spam. Elle établit des règles pour les messages commerciaux et donne aux destinataires le droit d'arrêter de les recevoir. Comprendre ces règles est essentiel pour quiconque envoie des emails marketing à des destinataires aux États-Unis.
Ce que couvre CAN-SPAM
CAN-SPAM s'applique aux 'messages de courrier électronique commercial'—des emails dont le but principal est la publicité ou la promotion d'un produit ou service commercial. Cela inclut la plupart des emails marketing, des newsletters promotionnelles et de la prospection commerciale.
Les emails transactionnels—confirmations de commande, notifications d'expédition, alertes de compte—sont largement exemptés. Ces emails facilitent une transaction ou une relation existante. Cependant, si un email transactionnel contient un contenu promotionnel significatif, il peut être reclassé en commercial.
La loi s'applique aux emails envoyés à des destinataires aux États-Unis, quel que soit l'endroit où se trouve l'expéditeur. Si vous envoyez des emails marketing à des adresses américaines, CAN-SPAM s'applique à vous.
Point important : CAN-SPAM n'exige pas de consentement opt-in. Vous pouvez légalement envoyer des emails commerciaux à quelqu'un qui ne s'est pas explicitement inscrit, tant que vous respectez les autres exigences. C'est une différence majeure par rapport au GDPR et à d'autres réglementations de protection de la vie privée.
Les exigences essentielles
CAN-SPAM comporte sept exigences principales pour les emails commerciaux :
Premièrement, n'utilisez pas d'informations d'en-tête fausses ou trompeuses. Les adresses 'From', 'To' et 'Reply-To' doivent identifier correctement l'expéditeur. Vous ne pouvez pas faire croire que votre email provient de quelqu'un d'autre.
Deuxièmement, n'utilisez pas de lignes d'objet trompeuses. L'objet doit refléter fidèlement le contenu du message. 'Re: Your order' pour un email promotionnel est trompeur. 'Special offer inside' est acceptable.
Troisièmement, identifiez le message comme une publicité. La loi ne précise pas comment—vous avez de la latitude sur la manière de le divulguer. Mais les destinataires doivent pouvoir comprendre que l'email est promotionnel.
Quatrièmement, incluez votre adresse postale physique. Cela peut être une adresse de rue, une boîte postale (PO box) enregistrée auprès du service postal, ou une boîte aux lettres privée enregistrée auprès d'une agence commerciale de réception de courrier. Elle doit être valide.
Cinquièmement, fournissez un moyen clair de se désinscrire. Chaque email commercial doit inclure un mécanisme visible et facile à utiliser permettant aux destinataires d'arrêter de recevoir vos emails. Cela peut être un lien vers une page de désinscription ou une adresse Reply-To.
Sixièmement, honorez rapidement les demandes de désinscription. Vous devez traiter les demandes de désinscription sous 10 jours ouvrables. Une fois qu'une personne s'est désinscrite, vous ne pouvez plus lui envoyer d'email commercial (les emails transactionnels restent autorisés).
Septièmement, surveillez ce que d'autres font en votre nom. Si vous engagez une société pour envoyer des emails pour vous, vous restez légalement responsable de la conformité. Vous ne pouvez pas externaliser vos obligations au titre de CAN-SPAM.
Erreurs de conformité courantes
Bien que CAN-SPAM ait deux décennies, les entreprises commettent encore des erreurs de conformité :
Cacher le lien de désinscription est une erreur classique. Certains marketeurs enfouissent l'opt-out dans du texte minuscule ou le rendent difficile à trouver. La loi exige qu'il soit 'clair et visible'. Si les destinataires ne peuvent pas le trouver facilement, vous n'êtes pas conforme.
Exiger une connexion pour se désinscrire va à l'encontre de l'esprit de la loi. Le mécanisme d'opt-out doit être simple. Contraindre quelqu'un à se souvenir d'un mot de passe ou à parcourir un processus complexe n'est pas 'facile à utiliser'.
Facturer des frais ou exiger des informations au-delà de l'adresse email pour traiter une désinscription est interdit. Vous pouvez demander pourquoi ils se désinscrivent, mais vous ne pouvez pas exiger une réponse.
Continuer à envoyer des emails après une désinscription est une violation claire. Vos systèmes doivent supprimer de manière fiable les adresses désinscrites. 'Nous n'avons pas reçu la demande' n'est pas une défense.
Utiliser des noms d'expéditeur trompeurs piège certains marketeurs. 'Customer Service' comme nom d'expéditeur pour un email promotionnel est à juste titre trompeur. Utilisez des noms d'expéditeur qui représentent fidèlement qui envoie.
Application et sanctions
CAN-SPAM est appliquée principalement par la Federal Trade Commission (FTC), bien que d'autres agences et les procureurs généraux des États puissent également engager des actions.
Les sanctions sont sévères : jusqu'à $50,120 par email en violation (à partir de 2023, ajusté pour l'inflation). Pour une campagne de 100,000 emails, cela représente potentiellement des milliards de responsabilité. En pratique, les sanctions sont négociées, mais elles peuvent rester substantielles.
Des sanctions pénales s'appliquent pour certaines violations aggravées, comme l'utilisation de fausses identités, la collecte d'adresses, ou l'utilisation d'outils automatisés pour créer des comptes email. Celles-ci peuvent inclure des amendes et des peines d'emprisonnement.
Il n'existe pas de droit d'action privé sous CAN-SPAM—les particuliers ne peuvent pas vous poursuivre directement pour des violations. Mais ils peuvent déposer une plainte auprès de la FTC, et un nombre suffisant de plaintes peut déclencher une enquête.
Au-delà des sanctions légales, les violations de CAN-SPAM peuvent nuire à votre délivrabilité email. Les fournisseurs de messagerie surveillent les signaux de conformité. Les emails sans lien de désinscription ou avec des en-têtes trompeurs sont plus susceptibles d'être filtrés comme spam.
CAN-SPAM vs. autres réglementations
CAN-SPAM est relativement permissive par rapport aux réglementations email d'autres juridictions.
Le GDPR (Union européenne) exige un consentement explicite avant d'envoyer des emails marketing. Vous ne pouvez pas envoyer un email à quelqu'un simplement parce que vous avez son adresse—il doit avoir activement opt-in. Le GDPR donne également aux individus davantage de droits sur leurs données.
La CASL (Canada) exige également un consentement, explicite ou implicite. Le consentement implicite a des limites et expire. La CASL est considérée comme l'une des lois anti-spam les plus strictes au monde.
Si vous envoyez à l'international, vous devez vous conformer à la loi la plus stricte applicable. Pour la plupart des expéditeurs mondiaux, cela signifie suivre des exigences de consentement de type GDPR même pour les destinataires américains, puisqu'il est plus simple d'avoir un processus unique conforme que de segmenter par juridiction.
Les lois des États américains peuvent ajouter des exigences. La CCPA de Californie, par exemple, donne aux résidents le droit de savoir quelles données vous collectez et de se désinscrire de leur vente. Elles interagissent avec CAN-SPAM, mais ne la remplacent pas.
Frequently asked questions
Ai-je besoin d'une permission pour envoyer des emails marketing sous CAN-SPAM ?
Non. CAN-SPAM n'exige pas de consentement opt-in. Cependant, envoyer à des personnes qui n'ont pas opt-in entraîne généralement un engagement faible et de nombreuses plaintes, ce qui nuit à la délivrabilité. L'envoi fondé sur la permission est une meilleure pratique même s'il n'est pas légalement requis.
CAN-SPAM s'applique-t-elle aux emails B2B ?
Oui. CAN-SPAM s'applique à tous les emails commerciaux, qu'ils soient B2B ou B2C. Les exigences sont les mêmes, quel que soit le destinataire.
Qu'est-ce qui constitue une adresse physique valide ?
Une adresse de rue à jour, une boîte postale (PO box) enregistrée auprès de l'USPS, ou une boîte aux lettres privée enregistrée auprès d'une agence commerciale de réception de courrier. Les adresses de bureaux virtuels sont généralement valides si elles peuvent recevoir du courrier.
Puis-je envoyer un email à quelqu'un qui s'est désinscrit s'il se réinscrit ensuite ?
Oui. Si quelqu'un se réinscrit activement après s'être désinscrit, vous pouvez lui ré-envoyer des emails. Conservez des preuves du nouvel opt-in en cas de litige.