📋Sommaire : Prospection B2B, CNIL et RGPD : Guide Conformité
- 1RGPD et prospection B2B : les regles spécifiques aux entreprises
- 2Les données que vous pouvez utiliser legalement en prospection B2B
- 3Gérer les opt-out et demandes de suppression en prospection B2B
- 4Les bonnes pratiques CNIL pour vos campagnes de prospection
- 5Prospection téléphonique B2B et BLOCTEL : les regles spécifiques
- 6Méthodologie de mise en conformite RGPD pour vos campagnes
- 7Erreurs fatales a éviter en matiere de conformite RGPD
- 8Outils recommandes pour la conformite RGPD en prospection
- 9FAQ : questions fréquentes sur RGPD et prospection B2B
1RGPD et prospection B2B : les regles spécifiques aux entreprises
Le Reglement Général sur la Protection des Données (RGPD) s'applique a la prospection commerciale B2B, mais avec des nuances importantes par rapport au B2C. En B2B, lorsque vous contactez un professionnel sur son adresse email professionnelle (nom.prenom@entreprise.com) pour lui proposer des services en lien avec ses fonctions, vous pouvez vous appuyer sur la base legale de l'intérêt legitime (article 6.1.f du RGPD). Cela signifie que vous n'avez pas obligatoirement besoin du consentement prealable du prospect, contrairement a la prospection B2C.
Cependant, l'intérêt legitime ne vous dispense pas de respecter l'ensemble des obligations RGPD. Vous devez informer le prospect de la collecte de ses données (des le premier contact ou au moment de la collecte), lui indiquer vos coordonnees en tant que responsable de traitement, preciser la finalite du traitement et sa duree de conservation, et lui rappeler son droit d'opposition. Cette information peut être integree en pied de vos emails de prospection sous forme d'une mention legale concise.
La CNIL definit des critères précis pour que l'intérêt legitime soit validé en prospection B2B : le traitement doit être nécessaire pour les besoins legitimes du responsable de traitement, les données collectees doivent être pertinentes et limitees a ce qui est nécessaire (principe de minimisation), et les intérêts ou les droits fondamentaux des personnes concernees ne doivent pas primer sur ces intérêts legitimes. En pratique, contacter un Directeur Commercial pour lui proposer un logiciel CRM entre clairement dans ce cadre.
Le RGPD est entre en application le 25 mai 2018 et a profondement modifie le paysage de la prospection B2B en Europe. En 2024, la CNIL a prononce plus de 42 millions d'euros d'amendes en France, dont une part significative concerne des manquements lies au demarchage commercial. Ces chiffres rappellent que la conformite n'est pas une option mais une obligation dont le non-respect peut avoir des consequences financieres severes, en plus du dommage reputationnel pour l'entreprise sanctionnee.
2Les données que vous pouvez utiliser legalement en prospection B2B
En prospection B2B, les données collectables legalement incluent les informations professionnelles publiquement disponibles : nom, prenom, titre de poste, entreprise, email professionnel, numéro de téléphone professionnel, et informations publiees sur des plateformes professionnelles comme LinkedIn. Ces données peuvent être collectees manuellement ou via des outils de scraping automatisé, sous reserve de respecter les conditions d'utilisation des plateformes concernees et les exigences RGPD.
Les adresses email personnelles (Gmail, Hotmail, etc.) d'individus dans un contexte professionnel entrent dans un regime plus strict. Même en B2B, l'utilisation d'une adresse email personnelle pour de la prospection commerciale nécessité généralement le consentement prealable. De même, contacter un auto-entrepreneur ou un professionnel liberal peut être soumis aux regles B2C si la distinction entre sphere personnelle et professionnelle est floue. En cas de doute, optez pour le consentement explicite ou limitez votre prospection aux emails clairement professionnels.
La duree de conservation des données prospects est également encadrée. La CNIL recommande de ne pas conserver des données prospects inactifs au-dela de 3 ans a compter du dernier contact. Mettez en place des processus automatisés de nettoyage de votre base CRM : tout prospect n'ayant eu aucune interaction depuis 3 ans doit être supprime ou faire l'objet d'une campagne de reactivation avec option de desinscription claire avant d'être archive.
Concernant le scraping de données LinkedIn, la situation juridique est nuancee. LinkedIn interdit le scraping automatisé dans ses conditions d'utilisation, mais la Cour Supreme des États-Unis a statue en 2022 dans l'affaire hiQ Labs vs LinkedIn que le scraping de données publiquement accessibles ne violait pas le CFAA (Computer Fraud and Abuse Act). En Europe, la question est tranchee différemment : le scraping est tolere si les données sont publiques et si leur utilisation respecte le RGPD (information des personnes, base legale, finalite précise). Utilisez les outils de scraping avec discernement et privilegiez les fournisseurs de données B2B conformes comme Apollo ou Cognism qui ont déjà effectue les verifications legales.
3Gérer les opt-out et demandes de suppression en prospection B2B
Chaque email de prospection doit obligatoirement proposer une option de desinscription facile et fonctionnelle. Il peut s'agir d'un lien de desabonnement en pied d'email, ou d'une invitation a répondre avec la mention STOP. Lorsqu'un prospect demande a ne plus être contacte, cette demande doit être traitee dans les 24 heures et enregistree dans votre CRM pour éviter tout contact ulterieur. Contacter à nouveau un prospect qui a clairement exprime son opposition constitue une infraction aux regles CNIL pouvant donner lieu a des sanctions.
Constituez une liste de suppression (ou liste noire) dans votre outil de prospection ou votre CRM. Cette liste doit être synchronisee avec tous vos outils d'envoi d'emails, vos outils de prospection LinkedIn et vos listes d'appels téléphoniques. Une organisation mal coordonnee peut conduire a recontacter par téléphone un prospect qui s'est desinscrit de vos emails, ce qui génère de la frustration et des risques de plainte. L'harmonisation de vos opt-outs entre tous vos canaux est une obligation legale et une bonne pratique commerciale.
En cas de demande d'acces, de rectification ou de suppression des données personnelles d'un prospect, vous devez y répondre dans un délai d'un mois. Designez un point de contact clairement identifié dans votre organisation pour traiter ces demandes. Pour les PME, ce role peut être tenu par le dirigeant ou le responsable commercial. Documentez toutes les demandes et les actions prises dans un registre, qui pourra être demande par la CNIL en cas de contrôle.
Les outils modernes de cold email comme Lemlist, Instantly ou Woodpecker intègrent nativement des fonctionnalites de gestion des opt-outs : lien de desinscription automatique, liste de suppression globale synchronisee entre toutes les campagnes, et archivage automatique des demandes de desinscription avec horodatage. Parametrez ces fonctionnalites des le premier jour et ne les desactivez jamais, même pour un test. Un seul email envoye a un prospect desabonne peut declencher une plainte CNIL.
4Les bonnes pratiques CNIL pour vos campagnes de prospection
Maintenez à jour un registre des activités de traitement mentionnant vos activités de prospection commerciale. Ce document doit preciser : la finalite du traitement (prospection commerciale), les catégories de données traitees, les destinataires des données, les transferts éventuels hors UE, et les mesures de sécurité en place. Ce registre est obligatoire pour les organisations de plus de 250 salaries, mais fortement recommande pour toutes les entreprises qui collectent des données prospects.
Si vous utilisez des outils tiers pour votre prospection (outils d'emailing, CRM, plateformes de scraping, agences de prospection externalisee), vous êtes responsable de traitement et vos prestataires sont sous-traitants. A ce titre, vous devez signer des contrats de sous-traitance avec chacun de vos prestataires, precisant leurs obligations en matiere de protection des données. Vérifiez que vos outils sont conformes au RGPD (serveurs en UE ou garanties adequates) et qu'ils disposent d'une documentation de conformite à jour.
Chez Closify, la conformite RGPD est integree à chaque campagne de prospection que nous menons pour nos clients. Nos processus incluent la verification des bases legales, l'intégration systématique des mentions legales dans les emails, la gestion des opt-outs en temps réel et la mise à jour régulière des listes de suppression. Cette approche conforme protege nos clients de tout risque juridique tout en maintenant l'efficacité des campagnes de prospection.
La mention legale type a intégrer en pied de vos cold emails B2B doit contenir au minimum : le nom de votre entreprise (responsable de traitement), la finalite du traitement (prospection commerciale), la base legale (intérêt legitime au sens de l'article 6.1.f du RGPD), le droit d'opposition (lien de desinscription ou instruction pour se desabonner), et un lien vers votre politique de confidentialite. Cette mention peut être concise (3 a 4 lignes) tout en restant complète. Un pied d'email bien redige rassure le prospect sur votre professionnalisme et votre respect de la loi.
5Prospection téléphonique B2B et BLOCTEL : les regles spécifiques
En France, le dispositif Bloctel (liste d'opposition au demarchage téléphonique) s'applique uniquement aux particuliers et aux auto-entrepreneurs dans leur vie personnelle. La prospection téléphonique B2B envers des professionnels sur leurs numéros professionnels n'est pas soumise a Bloctel. Cependant, certaines reglementations sectorielles peuvent imposer des restrictions supplémentaires, notamment dans les secteurs financier, medical ou juridique. Vérifiez les regles spécifiques a votre secteur avant de lancer des campagnes d'appels.
Les horaires de prospection téléphonique ne sont pas reglementes de manière aussi stricte en B2B qu'en B2C. Neanmoins, la bonne pratique consiste a appeler pendant les heures ouvrables (8h-19h) et a éviter les périodes de conges connues. Certains secteurs ont des habitudes spécifiques : dans l'hotellerie-restauration, évitez les lundis et les heures de service. Dans la grande distribution, les mardis et mercredis matins sont généralement plus propices aux appels de direction.
Conservez des preuves de vos démarches de conformite. Si un prospect ou une autorite venait a contester votre prospection, vous devez être capable de démontrer que vous avez respecte toutes les regles applicables. Horodatez vos envois d'emails, enregistrez les opt-outs avec leur date, conservez vos registres de traitement et documentez vos analyses d'intérêt legitime. Cette tracabilite est votre meilleure protection en cas de litige ou de contrôle reglementaire.
La loi du 24 juillet 2020 encadrant le demarchage téléphonique a renforce les sanctions : jusqu'à 75 000 euros d'amende pour une personne physique et 375 000 euros pour une personne morale en cas de non-respect des regles Bloctel en B2C. Bien que le B2B soit exempte de Bloctel, ces montants illustrent la severite croissante du legislateur envers les pratiques de demarchage non conformes. Anticiper cette tendance reglementaire en adoptant des pratiques exemplaires des maintenant protege votre entreprise pour les années a venir.
6Méthodologie de mise en conformite RGPD pour vos campagnes
Étape 1 : Cartographiez vos traitements de données de prospection. Listez tous les outils qui collectent, stockent ou traitent des données de prospects (CRM, outils d'emailing, tableurs Excel, LinkedIn). Pour chaque outil, identifiez les données traitees, la base legale applicable, la duree de conservation et les sous-traitants impliques. Cette cartographie est la première brique de votre conformite et permet d'identifier immédiatement les zones de risque.
Étape 2 : Redigez votre analyse d'intérêt legitime (balance des intérêts). Ce document, recommande par la CNIL, formalise votre reflexion sur la legitimite de votre prospection B2B. Il doit démontrer que votre intérêt commercial (acquerir des clients) ne porte pas une atteinte disproportionnee aux droits des personnes contactees. En pratique, tant que vous contactez des professionnels en lien avec leur fonction, que vos messages sont pertinents et que vous respectez les demandes de desinscription, cette balance penche en votre faveur.
Étape 3 : Mettez en place les mecanismes opérationnels. Configurez les liens de desinscription dans tous vos outils d'envoi, parametrez les listes de suppression synchronisees, redigez les mentions legales types pour vos emails et vos messages LinkedIn, formez vos équipes commerciales aux regles applicables et designez un référent RGPD interne charge de traiter les demandes. L'ensemble de cette mise en conformite peut être realise en 2 a 3 semaines pour une PME.
Étape 4 : Auditez régulièrement votre conformite. Tous les 6 mois, vérifiez que vos pratiques sont toujours alignees avec la reglementation, que vos listes de suppression sont à jour, que vos sous-traitants respectent leurs engagements et que vos équipes appliquent les procedures definies. Cet audit preventif coute infiniment moins cher que les sanctions potentielles et protege durablement la réputation de votre entreprise auprès de vos prospects et clients.
7Erreurs fatales a éviter en matiere de conformite RGPD
Erreur 1 : Croire que le RGPD ne s'applique pas en B2B. C'est faux. Le RGPD protege les données personnelles des individus, y compris dans un contexte professionnel. Le nom, le prenom, l'adresse email professionnelle et le numéro de téléphone d'un décideur sont des données personnelles même s'il est contacte dans le cadre de ses fonctions. La seule difference avec le B2C est la base legale : intérêt legitime en B2B vs consentement en B2C.
Erreur 2 : Acheter des listes de prospects sans vérifier leur provenance. Les listes achetees a des fournisseurs de données non conformes constituent un risque juridique majeur. Si les données ont été collectees sans respect du RGPD (pas d'information des personnes, pas de base legale validé), vous heritez de cette non-conformite en utilisant ces données. Exigez de vos fournisseurs de données une documentation prouvant la conformite de leur collecte et privilegiez les fournisseurs reconnus comme Apollo, Cognism ou ZoomInfo qui investissent massivement dans leur conformite.
Erreur 3 : Ne pas traiter les demandes de suppression dans les délais legaux. Un prospect qui demande la suppression de ses données doit recevoir une confirmation dans un délai maximum d'un mois. Ignorer ou retarder ces demandes est non seulement illegal mais aussi commercial suicide : un prospect mecontent peut deposer une plainte CNIL en 3 clics sur le site cnil.fr. En 2024, la CNIL a recu plus de 16 000 plaintes liees au demarchage commercial, un chiffre en hausse constante.
Erreur 4 : Envoyer des emails depuis votre domaine principal sans domaine de prospection dédié. Au-dela du risque de délivrabilité (si votre domaine est blackliste, toute votre communication est impactee), utiliser votre domaine principal pour du cold email signifie que les plaintes spam remontent directement sur votre réputation d'entreprise. Créez un domaine dédié (ex: équipe-votreentreprise.com) pour vos campagnes de prospection, avec les mêmes mentions legales et la même identite visuelle que votre domaine principal.
8Outils recommandes pour la conformite RGPD en prospection
Pour la gestion du consentement et des opt-outs : les plateformes de cold email comme Lemlist, Instantly et Woodpecker intègrent nativement des fonctionnalites de gestion des desinscriptions. Pour une couche supplémentaire, des outils comme OneTrust ou Cookiebot permettent de centraliser la gestion du consentement à travers tous vos canaux marketing et commerciaux. Le cout est de 50 a 200 euros par mois selon la taille de votre base de données.
Pour le registre des traitements et l'analyse d'impact : la CNIL propose un outil gratuit appele PIA (Privacy Impact Assessment) pour réaliser vos analyses d'impact. Pour les registres de traitement, des solutions comme Dastra (editeur français à partir de 29 euros/mois) ou le modèle de registre gratuit propose par la CNIL permettent de maintenir une documentation conforme sans investissement majeur.
Pour la verification de la délivrabilité et la réputation email : ZeroBounce et NeverBounce permettent de nettoyer vos listes d'emails avant l'envoi (elimination des adresses invalides, des spamtraps et des adresses a risque). Un nettoyage systématique de vos listes avant chaque campagne reduit les taux de bounce en dessous de 2 % et protege votre réputation d'expediteur. Le cout est d'environ 0,005 euro par email verifie.
Chez Closify, nous avons développé un processus de conformite en 5 points que nous appliquons à chaque campagne client : verification de la base legale applicable, nettoyage et validation des listes de contacts, intégration des mentions legales reglementaires, parametrage des mecanismes d'opt-out multicanal, et audit de conformite mensuel avec rapport detaille. Ce processus protege nos clients tout en maintenant des taux de performance supérieurs a la moyenne du marché.
9FAQ : questions fréquentes sur RGPD et prospection B2B
Ai-je le droit d'envoyer un cold email a un professionnel sans son consentement ? Oui, à condition que votre message soit en lien avec la fonction professionnelle du destinataire et que vous vous appuyiez sur la base legale de l'intérêt legitime. Vous devez également informer le destinataire de la collecte de ses données et lui offrir la possibilite de s'opposer au traitement. En revanche, si le destinataire est un auto-entrepreneur contacte sur une adresse personnelle, le consentement prealable est requis.
Quelles sont les sanctions réelles en cas de non-conformite RGPD pour de la prospection B2B ? Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus eleve est retenu). En pratique, les sanctions pour de la prospection non conforme se situent généralement entre 20 000 et 500 000 euros pour les PME, selon la gravite et la repetition des manquements. La mise en demeure publique est souvent plus dommageable que l'amende elle-même en termes d'image.
Puis-je utiliser les données collectees sur LinkedIn pour de la prospection par email ? Oui, les données professionnelles publiees sur LinkedIn (nom, prenom, entreprise, poste) sont considérés comme publiquement accessibles. Vous pouvez les utiliser pour de la prospection B2B sous le regime de l'intérêt legitime. En revanche, respectez les conditions d'utilisation de LinkedIn concernant le scraping automatisé et ne collectez pas de données non professionnelles (photos personnelles, centres d'intérêt prives). Les outils comme Kaspr ou Lusha, qui révèlent les emails professionnels à partir des profils LinkedIn, sont conformes car ils ne font qu'enrichir des données professionnelles publiques.
Comment gérer la prospection B2B vers des pays hors UE ? Si vous prospectez des entreprises en dehors de l'UE, le RGPD s'applique si vous traitez des données de citoyens europeens ou si votre entreprise est basee dans l'UE. Pour les transferts de données hors UE, vous devez vous assurer que le pays destinataire offre un niveau de protection adequat (liste des pays adequats sur le site de la CNIL) ou mettre en place des clauses contractuelles types. Les outils americains utilises pour la prospection (Apollo, HubSpot, Salesforce) ont généralement mis en place ces garanties dans leurs contrats.
Mots-clés lies
FAQ : Prospection B2B, CNIL et RGPD : Guide Conformité
RGPD et prospection B2B : les regles spécifiques aux entreprises ?
Les données que vous pouvez utiliser legalement en prospection B2B ?
Gérer les opt-out et demandes de suppression en prospection B2B ?
Les bonnes pratiques CNIL pour vos campagnes de prospection ?
Prospection téléphonique B2B et BLOCTEL : les regles spécifiques ?
Méthodologie de mise en conformite RGPD pour vos campagnes ?
Erreurs fatales a éviter en matiere de conformite RGPD ?
Outils recommandes pour la conformite RGPD en prospection ?
FAQ : questions fréquentes sur RGPD et prospection B2B ?
Yifsin Nouar
Expert B2BFondateur de Closify, 13+ ans d'expérience en prospection B2B. Specialiste cold calling, cold email et LinkedIn outbound. A accompagné +100 entreprises (SaaS, fintech, ESN) dans la structuration de leur pipeline commercial.