L'essentiel
- En B2B, la prospection email sans consentement préalable est admise si l'adresse est professionnelle et nominative, l'objet en rapport avec la fonction, avec information et droit d'opposition. En B2C, le consentement préalable est requis (ePrivacy).
- La base légale mobilisée est l'intérêt légitime (art. 6.1.f du RGPD) — il faut pouvoir la justifier et la documenter.
- Chaque message doit permettre de s'opposer simplement (art. 21) : un lien de désinscription qui fonctionne vraiment.
- La durée de conservation doit être limitée et documentée ; la CNIL recommande ~3 ans après le dernier contact pour un prospect.
La peur, plus coûteuse que la règle
« On n'a pas le droit d'envoyer des emails froids, c'est le RGPD. » Cette phrase, on l'entend dans presque chaque entreprise — et elle est fausse. Elle confond deux univers que le droit sépare nettement : la prospection vers des particuliers et la prospection entre professionnels. Résultat, des équipes commerciales entières s'auto-censurent sur une interdiction qui n'existe pas, pendant que d'autres envoient n'importe quoi en croyant qu'un formulaire signé les couvre.
Le RGPD (Règlement UE 2016/679) n'interdit pas de prospecter. Il encadre comment. En B2B, ce cadre est parfaitement praticable une fois qu'on l'a compris. L'objectif de ce guide est de lever la peur en posant la règle réelle, article par article, pour que vous puissiez décider en connaissance de cause plutôt que par prudence excessive.
B2B n'est pas B2C
C'est la distinction fondatrice, celle dont découle tout le reste. Le principe du consentement préalable pour la prospection électronique vient de la directive ePrivacy (2002/58/CE), transposée en France à l'article L.34-5 du Code des postes et des communications électroniques (CPCE). Ce principe vise avant tout le B2C : pour écrire à un particulier, il faut son consentement préalable, recueilli au moment de la collecte.
En B2B, la doctrine de la CNIL retient une lecture différente. La prospection par email vers un professionnel est possible sans consentement préalable, à condition que l'objet du message soit en rapport avec la fonction de la personne démarchée. Autrement dit : on peut écrire à prenom.nom@entreprise.fr pour lui parler d'un sujet lié à son métier, mais pas lui vendre une croisière personnelle. Deux garde-fous restent obligatoires dans tous les cas : la personne doit être informée au moment de la collecte de son adresse, et pouvoir s'opposer simplement.
| Situation | Règle applicable |
|---|---|
| Email pro nominatif (prenom.nom@entreprise), objet lié à la fonction | Prospection possible sans consentement préalable — intérêt légitime + information + opposition |
| Email générique (contact@, info@) | Zone à risque : pas de personne identifiée ; prudence, privilégier l'intérêt légitime documenté et l'opt-out |
| Adresse personnelle d'un particulier (B2C) | Consentement préalable requis (ePrivacy / art. L.34-5 CPCE) |
| Objet sans rapport avec la fonction de la personne | Sort du cadre B2B toléré — traiter comme du B2C |
Retenez la ligne de crête : ce n'est pas « l'entreprise » contre « le particulier », c'est l'adresse professionnelle nominative reliée à une fonction contre tout le reste. Un dirigeant démarché sur son adresse Gmail personnelle relève du B2C, même pour un sujet professionnel.
La base légale : l'intérêt légitime
Tout traitement de données doit reposer sur une base légale (article 6 du RGPD). Pour la prospection B2B sans consentement, cette base est l'intérêt légitime prévu à l'article 6.1.f. Ce n'est pas une formule magique : c'est un raisonnement que vous devez pouvoir tenir et écrire.
Justifier l'intérêt légitime, c'est démontrer trois choses. D'abord, un intérêt réel et bien défini : développer votre activité en présentant une offre pertinente à des professionnels dont c'est le métier. Ensuite, la nécessité : la prospection est un moyen proportionné d'atteindre cet intérêt. Enfin — et c'est le point que beaucoup oublient — la mise en balance : l'intérêt de votre entreprise ne doit pas porter une atteinte disproportionnée aux droits et attentes raisonnables de la personne. Un professionnel démarché sur un sujet lié à sa fonction ne subit pas d'atteinte disproportionnée ; le même contacté sur sa vie privée, si. Cette mise en balance se documente, dans un registre ou une note interne, pour être opposable en cas de contrôle.
Informer les personnes
L'information des personnes est une obligation à part entière, distincte de la base légale. Les articles 13 et 14 du RGPD la structurent : l'article 13 vise les données collectées directement auprès de la personne, l'article 14 celles obtenues indirectement — ce qui est le cas le plus fréquent en prospection, quand vous constituez un fichier à partir de sources tierces.
Concrètement, la personne doit pouvoir savoir, au plus tard au moment du premier contact : qui traite ses données (votre identité), pourquoi (la finalité : la prospection commerciale), sur quelle base (l'intérêt légitime), combien de temps vous les conservez, et quels droits elle peut exercer, dont l'opposition. En pratique, cette information passe par une politique de confidentialité accessible, un lien dans l'email, et une mention claire de la source des données lorsqu'elles n'ont pas été collectées auprès d'elle.
Le droit d'opposition et le lien qui marche
L'article 21 du RGPD donne à toute personne le droit de s'opposer à la prospection, à tout moment et sans avoir à se justifier. Pour la prospection commerciale, ce droit est absolu : dès qu'il est exercé, le traitement à des fins de prospection doit cesser. Ce n'est pas négociable et ne souffre pas d'exception.
Traduit dans vos envois, cela signifie un moyen d'opposition simple et gratuit dans chaque message. Le lien de désinscription n'est pas un ornement de bas de page : c'est l'exercice concret d'un droit. Il doit être visible, fonctionner réellement, retirer la personne de la base et l'y maintenir. Un lien cassé, un « désabonnement » qui ne désabonne pas, ou une adresse qui répond dans le vide sont autant de manquements. C'est aussi votre intérêt : une personne qui veut partir et n'y arrive pas vous signale en spam, ce qui détruit la délivrabilité de tout votre domaine.
Vu en production
Sur les systèmes de prospection que j'opère au quotidien via Cicero Studio, chaque campagne B2B repose sur des adresses professionnelles nominatives, une mention d'information reliée à une politique de confidentialité, et un lien de désinscription testé avant chaque envoi. Ce n'est pas seulement de la conformité : un opt-out qui fonctionne protège aussi la réputation d'envoi. Les deux problèmes — juridique et technique — se résolvent avec la même discipline.
La durée de conservation
Le RGPD impose de limiter la conservation des données à ce qui est nécessaire à la finalité — c'est le principe de limitation de la conservation. Il n'existe pas de durée chiffrée universelle inscrite dans le règlement : vous devez la définir vous-même, en fonction de votre usage, et la documenter.
Pour un prospect qui n'est pas devenu client, la CNIL recommande une durée de l'ordre de trois ans à compter du dernier contact resté sans réponse. Passé ce délai, les données doivent être supprimées ou anonymisées. La durée que vous retenez doit être cohérente, appliquée par un mécanisme de purge, et communiquée aux personnes au titre de l'information (articles 13 et 14). « On garde tout, on ne sait jamais » n'est pas une politique de conservation — c'est un manquement en attente de contrôle.
Avertissement
Ce guide a une visée informative et pédagogique. Il ne constitue pas un conseil juridique et ne remplace pas l'analyse d'un juriste ou d'un délégué à la protection des données (DPO) sur votre situation précise. Pour un cas concret, appuyez-vous sur les textes officiels et, au besoin, un professionnel du droit. En cas de manquement, le RGPD prévoit des sanctions pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé (article 83).
Votre checklist de conformité
Avant de lancer une campagne B2B, passez chaque point en revue. S'ils sont tous cochés, vous êtes dans le cadre.
- Adresses professionnelles nominatives — vous écrivez à des personnes identifiées sur une adresse pro, pas à des boîtes génériques ni à des adresses personnelles.
- Objet en rapport avec la fonction — votre message concerne le métier de la personne, pas sa sphère privée.
- Base légale documentée — l'intérêt légitime (art. 6.1.f) est justifié et sa mise en balance est écrite quelque part.
- Information accessible — qui, pourquoi, combien de temps, quels droits (art. 13/14), via une politique de confidentialité et un lien dans l'email.
- Source des données — vous pouvez indiquer d'où viennent les adresses lorsqu'elles n'ont pas été collectées directement.
- Opt-out qui fonctionne — un lien de désinscription testé, gratuit, qui retire réellement la personne (art. 21).
- Durée de conservation définie — une règle de purge appliquée (~3 ans après le dernier contact pour un prospect).
La conformité n'est pas un frein à la prospection B2B : c'est ce qui la rend durable. Un cadre respecté vous protège d'une plainte, mais il aligne aussi vos pratiques sur ce qui fait une bonne délivrabilité — écrire aux bonnes personnes, sur les bons sujets, avec une porte de sortie propre. Pour aller plus loin sur la méthode, lisez notre guide de la prospection assistée par IA et le guide cold email en 2026. Pour approfondir le cadre officiel, la page de la CNIL sur la prospection commerciale par email fait référence.