Organisme de formation déclaré n° 11755669975

Guide · RGPD & conformité

RGPD & prospection B2B : ce que la CNIL attend

La peur du RGPD arrête plus de campagnes que le RGPD lui-même. Or le cadre est clair : en B2B, vous pouvez prospecter par email sans consentement préalable, à quatre conditions précises. Voici ce que la doctrine de la CNIL demande vraiment — la vraie règle, pas la légende.

Par Alexis Dolle Mis à jour le 17 juillet 2026 Lecture ~9 min

L'essentiel

  • En B2B, la prospection email sans consentement préalable est admise si l'adresse est professionnelle et nominative, l'objet en rapport avec la fonction, avec information et droit d'opposition. En B2C, le consentement préalable est requis (ePrivacy).
  • La base légale mobilisée est l'intérêt légitime (art. 6.1.f du RGPD) — il faut pouvoir la justifier et la documenter.
  • Chaque message doit permettre de s'opposer simplement (art. 21) : un lien de désinscription qui fonctionne vraiment.
  • La durée de conservation doit être limitée et documentée ; la CNIL recommande ~3 ans après le dernier contact pour un prospect.

La peur, plus coûteuse que la règle

« On n'a pas le droit d'envoyer des emails froids, c'est le RGPD. » Cette phrase, on l'entend dans presque chaque entreprise — et elle est fausse. Elle confond deux univers que le droit sépare nettement : la prospection vers des particuliers et la prospection entre professionnels. Résultat, des équipes commerciales entières s'auto-censurent sur une interdiction qui n'existe pas, pendant que d'autres envoient n'importe quoi en croyant qu'un formulaire signé les couvre.

Le RGPD (Règlement UE 2016/679) n'interdit pas de prospecter. Il encadre comment. En B2B, ce cadre est parfaitement praticable une fois qu'on l'a compris. L'objectif de ce guide est de lever la peur en posant la règle réelle, article par article, pour que vous puissiez décider en connaissance de cause plutôt que par prudence excessive.

B2B n'est pas B2C

C'est la distinction fondatrice, celle dont découle tout le reste. Le principe du consentement préalable pour la prospection électronique vient de la directive ePrivacy (2002/58/CE), transposée en France à l'article L.34-5 du Code des postes et des communications électroniques (CPCE). Ce principe vise avant tout le B2C : pour écrire à un particulier, il faut son consentement préalable, recueilli au moment de la collecte.

En B2B, la doctrine de la CNIL retient une lecture différente. La prospection par email vers un professionnel est possible sans consentement préalable, à condition que l'objet du message soit en rapport avec la fonction de la personne démarchée. Autrement dit : on peut écrire à prenom.nom@entreprise.fr pour lui parler d'un sujet lié à son métier, mais pas lui vendre une croisière personnelle. Deux garde-fous restent obligatoires dans tous les cas : la personne doit être informée au moment de la collecte de son adresse, et pouvoir s'opposer simplement.

SituationRègle applicable
Email pro nominatif (prenom.nom@entreprise), objet lié à la fonctionProspection possible sans consentement préalable — intérêt légitime + information + opposition
Email générique (contact@, info@)Zone à risque : pas de personne identifiée ; prudence, privilégier l'intérêt légitime documenté et l'opt-out
Adresse personnelle d'un particulier (B2C)Consentement préalable requis (ePrivacy / art. L.34-5 CPCE)
Objet sans rapport avec la fonction de la personneSort du cadre B2B toléré — traiter comme du B2C

Retenez la ligne de crête : ce n'est pas « l'entreprise » contre « le particulier », c'est l'adresse professionnelle nominative reliée à une fonction contre tout le reste. Un dirigeant démarché sur son adresse Gmail personnelle relève du B2C, même pour un sujet professionnel.

La base légale : l'intérêt légitime

Tout traitement de données doit reposer sur une base légale (article 6 du RGPD). Pour la prospection B2B sans consentement, cette base est l'intérêt légitime prévu à l'article 6.1.f. Ce n'est pas une formule magique : c'est un raisonnement que vous devez pouvoir tenir et écrire.

Justifier l'intérêt légitime, c'est démontrer trois choses. D'abord, un intérêt réel et bien défini : développer votre activité en présentant une offre pertinente à des professionnels dont c'est le métier. Ensuite, la nécessité : la prospection est un moyen proportionné d'atteindre cet intérêt. Enfin — et c'est le point que beaucoup oublient — la mise en balance : l'intérêt de votre entreprise ne doit pas porter une atteinte disproportionnée aux droits et attentes raisonnables de la personne. Un professionnel démarché sur un sujet lié à sa fonction ne subit pas d'atteinte disproportionnée ; le même contacté sur sa vie privée, si. Cette mise en balance se documente, dans un registre ou une note interne, pour être opposable en cas de contrôle.

Informer les personnes

L'information des personnes est une obligation à part entière, distincte de la base légale. Les articles 13 et 14 du RGPD la structurent : l'article 13 vise les données collectées directement auprès de la personne, l'article 14 celles obtenues indirectement — ce qui est le cas le plus fréquent en prospection, quand vous constituez un fichier à partir de sources tierces.

Concrètement, la personne doit pouvoir savoir, au plus tard au moment du premier contact : qui traite ses données (votre identité), pourquoi (la finalité : la prospection commerciale), sur quelle base (l'intérêt légitime), combien de temps vous les conservez, et quels droits elle peut exercer, dont l'opposition. En pratique, cette information passe par une politique de confidentialité accessible, un lien dans l'email, et une mention claire de la source des données lorsqu'elles n'ont pas été collectées auprès d'elle.

Le droit d'opposition et le lien qui marche

L'article 21 du RGPD donne à toute personne le droit de s'opposer à la prospection, à tout moment et sans avoir à se justifier. Pour la prospection commerciale, ce droit est absolu : dès qu'il est exercé, le traitement à des fins de prospection doit cesser. Ce n'est pas négociable et ne souffre pas d'exception.

Traduit dans vos envois, cela signifie un moyen d'opposition simple et gratuit dans chaque message. Le lien de désinscription n'est pas un ornement de bas de page : c'est l'exercice concret d'un droit. Il doit être visible, fonctionner réellement, retirer la personne de la base et l'y maintenir. Un lien cassé, un « désabonnement » qui ne désabonne pas, ou une adresse qui répond dans le vide sont autant de manquements. C'est aussi votre intérêt : une personne qui veut partir et n'y arrive pas vous signale en spam, ce qui détruit la délivrabilité de tout votre domaine.

Vu en production

Sur les systèmes de prospection que j'opère au quotidien via Cicero Studio, chaque campagne B2B repose sur des adresses professionnelles nominatives, une mention d'information reliée à une politique de confidentialité, et un lien de désinscription testé avant chaque envoi. Ce n'est pas seulement de la conformité : un opt-out qui fonctionne protège aussi la réputation d'envoi. Les deux problèmes — juridique et technique — se résolvent avec la même discipline.

La durée de conservation

Le RGPD impose de limiter la conservation des données à ce qui est nécessaire à la finalité — c'est le principe de limitation de la conservation. Il n'existe pas de durée chiffrée universelle inscrite dans le règlement : vous devez la définir vous-même, en fonction de votre usage, et la documenter.

Pour un prospect qui n'est pas devenu client, la CNIL recommande une durée de l'ordre de trois ans à compter du dernier contact resté sans réponse. Passé ce délai, les données doivent être supprimées ou anonymisées. La durée que vous retenez doit être cohérente, appliquée par un mécanisme de purge, et communiquée aux personnes au titre de l'information (articles 13 et 14). « On garde tout, on ne sait jamais » n'est pas une politique de conservation — c'est un manquement en attente de contrôle.

Avertissement

Ce guide a une visée informative et pédagogique. Il ne constitue pas un conseil juridique et ne remplace pas l'analyse d'un juriste ou d'un délégué à la protection des données (DPO) sur votre situation précise. Pour un cas concret, appuyez-vous sur les textes officiels et, au besoin, un professionnel du droit. En cas de manquement, le RGPD prévoit des sanctions pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé (article 83).

Votre checklist de conformité

Avant de lancer une campagne B2B, passez chaque point en revue. S'ils sont tous cochés, vous êtes dans le cadre.

  • Adresses professionnelles nominatives — vous écrivez à des personnes identifiées sur une adresse pro, pas à des boîtes génériques ni à des adresses personnelles.
  • Objet en rapport avec la fonction — votre message concerne le métier de la personne, pas sa sphère privée.
  • Base légale documentée — l'intérêt légitime (art. 6.1.f) est justifié et sa mise en balance est écrite quelque part.
  • Information accessible — qui, pourquoi, combien de temps, quels droits (art. 13/14), via une politique de confidentialité et un lien dans l'email.
  • Source des données — vous pouvez indiquer d'où viennent les adresses lorsqu'elles n'ont pas été collectées directement.
  • Opt-out qui fonctionne — un lien de désinscription testé, gratuit, qui retire réellement la personne (art. 21).
  • Durée de conservation définie — une règle de purge appliquée (~3 ans après le dernier contact pour un prospect).
Arbre de décision RGPD : l'adresse est-elle professionnelle et nominative ? Si oui, prospection sous intérêt légitime avec information et opt-out ; si non ou B2C, consentement préalable requis. L'ADRESSE EST-ELLE pro + nominative + objet lié à la fonction ? OUI NON / B2C INTÉRÊT LÉGITIME — art. 6.1.f + Information (art. 13/14) + Droit d'opposition (art. 21) + Durée limitée (~3 ans) → Prospection possible CONSENTEMENT PRÉALABLE ePrivacy 2002/58/CE art. L.34-5 CPCE Opt-in recueilli avant l'envoi → Sans consentement : stop
Arbre de décision RGPD pour la prospection email. La branche de gauche (intérêt légitime) n'est ouverte que si les trois conditions de l'adresse sont réunies.

La conformité n'est pas un frein à la prospection B2B : c'est ce qui la rend durable. Un cadre respecté vous protège d'une plainte, mais il aligne aussi vos pratiques sur ce qui fait une bonne délivrabilité — écrire aux bonnes personnes, sur les bons sujets, avec une porte de sortie propre. Pour aller plus loin sur la méthode, lisez notre guide de la prospection assistée par IA et le guide cold email en 2026. Pour approfondir le cadre officiel, la page de la CNIL sur la prospection commerciale par email fait référence.

Alexis Dolle

Président d'AARRR Formations · fondateur de Cicero Studio

Quinze ans de marketing et de growth côté opérationnel. Je dirige Cicero Studio, une agence qui opère tous les jours des systèmes de prospection par email pour ses clients. Ce que j'écris ici, c'est ce qui tourne en production — pas ce qui marche en démonstration.

Prospecter en B2B sans crainte du RGPD, ni du spam.

Formation d'une journée, 8 personnes maximum, sur votre cible et vos données réelles. Vous repartez avec votre séquence, votre domaine configuré, un cadre conforme et la méthode. Organisme de formation déclaré n° 11755669975.

Questions fréquentes

Peut-on prospecter par email en B2B sans consentement préalable ?

Oui, dans un cadre précis. En B2B, la doctrine de la CNIL admet la prospection par email sans consentement préalable lorsque l'adresse est professionnelle et nominative (prenom.nom@entreprise.fr), que l'objet du message est en rapport avec la fonction de la personne démarchée, qu'elle est informée au moment de la collecte de son adresse et qu'elle dispose d'un moyen simple de s'opposer. La base légale mobilisée est l'intérêt légitime (art. 6.1.f du RGPD). En B2C, la directive ePrivacy transposée à l'article L.34-5 du CPCE impose au contraire un consentement préalable. Contenu informatif, ne constitue pas un conseil juridique.

Faut-il un lien de désinscription dans un email de prospection B2B ?

Oui. Le droit d'opposition prévu à l'article 21 du RGPD s'exerce à tout moment et sans motif pour la prospection. Chaque email doit donc comporter un moyen simple et gratuit de s'opposer : un lien de désinscription qui fonctionne, ou a minima une adresse à laquelle répondre. Ce lien doit réellement retirer la personne de la base et l'y maintenir. Un lien absent, cassé ou ignoré est un manquement — et, en prime, un billet direct vers le dossier spam. Contenu informatif, ne constitue pas un conseil juridique.

Combien de temps peut-on conserver une base de prospection ?

Le RGPD n'impose pas de durée chiffrée universelle : il exige une durée limitée à ce qui est nécessaire à la finalité. La CNIL recommande, pour un prospect qui n'est pas devenu client, une conservation de l'ordre de trois ans à compter du dernier contact resté sans réponse, puis suppression ou anonymisation. La durée retenue doit être définie, documentée, appliquée par une purge et communiquée aux personnes au titre de l'information (art. 13 et 14). Contenu informatif, ne constitue pas un conseil juridique.