⏱ Temps de lecture : 12 minutes
📌 À retenir :
- Le RGPD s'applique aux données B2B dès qu'une personne physique est identifiable (email nominatif, téléphone direct)
- Les sanctions peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial
- Le cold emailing B2B est autorisé sous conditions strictes, contrairement au B2C
- Chaque prospect dispose de 5 droits fondamentaux que tu dois respecter sous 30 jours maximum
👤 Pour qui : Responsables commerciaux, dirigeants d'entreprise, équipes marketing et prospection, apporteurs d'affaires qui utilisent des bases de données B2B pour leur activité commerciale.
Tu te prépares à lancer une nouvelle campagne de prospection commerciale. Ta base de données B2B est prête, tes emails sont rédigés, ton équipe commerciale attend le feu vert. Et là, cette question te taraude : "Suis-je vraiment en conformité avec le RGPD ?"
Cette interrogation n'a rien d'anodin. En 2023, la CNIL a prononcé des sanctions pour un montant total de 89 millions d'euros en France. Et contrairement à une idée reçue tenace, le RGPD concerne aussi les données B2B. Pas de la même manière que le B2C, certes, mais les conséquences d'une mauvaise compréhension peuvent être dévastatrices pour ton entreprise.
Dans ce guide complet, on va décortiquer ensemble tout ce que tu dois absolument savoir sur le RGPD et les données B2B. Parce qu'aujourd'hui, la conformité n'est plus une option, c'est une nécessité absolue pour pérenniser ton activité commerciale.
Qu'est-ce que le RGPD ?
Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018. Cette date a marqué un tournant radical dans la façon dont les entreprises européennes doivent gérer les informations personnelles. Mais concrètement, qu'est-ce que ça change vraiment pour ta prospection commerciale ?
Définition
Le RGPD est un règlement européen qui encadre le traitement des données personnelles rgpd sur le territoire de l'Union européenne. L'objectif ? Redonner aux citoyens le contrôle sur leurs informations personnelles. Cette législation s'applique à toutes les organisations, publiques comme privées, qui traitent des données de résidents européens, même si ces organisations sont basées hors UE.
Une donnée personnelle, c'est toute information se rapportant à une personne physique identifiée ou identifiable. Et c'est là que ça devient intéressant pour le B2B : un email comme "jean.dupont@entreprise.com" est une donnée personnelle, contrairement à "contact@entreprise.com".
Le savais-tu ? Le RGPD compte 99 articles et 173 considérants. Mais rassure-toi, tu n'as pas besoin de tout connaître par cœur pour être conforme dans ta prospection B2B. Les principes fondamentaux tiennent en quelques règles claires.
Champ d'application
Le RGPD s'applique dès que trois conditions sont réunies. Première condition : tu traites des données à caractère personnel (et oui, les coordonnées de tes prospects en font partie). Deuxième condition : le traitement est automatisé, total ou partiel (ton CRM, tes campagnes emailing, tes outils de prospection sont concernés). Troisième condition : l'organisation est établie dans l'UE ou cible des résidents européens.
Concrètement, si tu exploites une base de données B2B pour prospecter des entreprises françaises, tu es soumis au RGPD. Peu importe que tu sois une TPE de 3 personnes ou une multinationale : la loi s'applique de la même façon.
Entreprises concernées en France
Sanctions prononcées par la CNIL en 2023
Principes clés
Le RGPD repose sur six principes fondamentaux que tu dois graver dans ta mémoire. Premier principe : la licéité, loyauté et transparence. Tu dois avoir une base légale pour traiter les données, informer clairement les personnes et ne pas les tromper. Deuxième principe : la limitation des finalités. Si tu collectes un email pour envoyer une newsletter, tu ne peux pas l'utiliser pour du démarchage téléphonique sans nouveau consentement.
Troisième principe : la minimisation des données. Ne collecte que ce dont tu as réellement besoin. Tu n'as pas besoin de la date de naissance d'un dirigeant pour lui proposer tes services B2B. Quatrième principe : l'exactitude. Tes données doivent être à jour et exactes. D'où l'importance de nettoyer régulièrement ta base de données prospects.
Cinquième principe : la limitation de la conservation. Tu ne peux pas garder les données éternellement. En prospection B2B, la durée généralement admise est de 3 ans sans interaction. Sixième et dernier principe : l'intégrité et confidentialité. Tu dois protéger les données contre tout accès non autorisé, toute perte ou destruction accidentelle.
Checklist gratuite : Audit RGPD express pour ta prospection B2B
Obtiens notre checklist complète de 25 points de contrôle pour vérifier en 15 minutes si ta prospection commerciale est conforme au RGPD. Utilisée par plus de 300 entreprises françaises.
- 25 points de contrôle détaillés et actionnables
- Scoring de conformité automatique
- Plan d'action priorisé selon tes lacunes
Données B2B et RGPD
Voici LA question qui revient sans cesse : "Les données B2B sont-elles vraiment concernées par le RGPD ?" La réponse courte : oui, mais pas exactement comme les données B2C. La réponse longue mérite qu'on s'y attarde, parce que c'est précisément sur cette nuance que se joue ta conformité.
Les données B2B sont-elles concernées ?
Le RGPD protège les personnes physiques, pas les personnes morales (les entreprises). Donc théoriquement, les informations sur une entreprise (raison sociale, adresse du siège, numéro SIRET) ne sont pas protégées par le RGPD. Mais attention, c'est là que le piège se referme.
Dès qu'une donnée permet d'identifier une personne physique au sein de l'entreprise, le RGPD s'applique. Un email nominatif (prenom.nom@entreprise.com), un numéro de téléphone direct, le nom d'un dirigeant associé à sa fonction : toutes ces informations sont des données personnelles rgpd et tombent sous le coup de la réglementation.
❌ Données personnelles (RGPD applicable)
- jean.martin@entreprise.fr
- 06 12 34 56 78 (ligne directe)
- Jean Martin, Directeur Commercial
- LinkedIn de Marie Dubois
✅ Données non personnelles (hors RGPD)
- contact@entreprise.fr
- 01 23 45 67 89 (standard)
- Entreprise ABC, 123 rue du Commerce
- SIRET 123 456 789 00012
Cette distinction est capitale. Quand tu achètes une base de données entreprises, vérifie bien le type d'informations qu'elle contient. Une base composée uniquement d'emails génériques et de numéros de standard sera moins soumise aux contraintes RGPD qu'une base contenant des contacts nominatifs.
Données personnelles vs. données entreprises
La frontière entre données personnelles et données d'entreprise n'est pas toujours évidente. Prenons l'exemple d'un auto-entrepreneur : son nom commercial est souvent son nom personnel. Dans ce cas, toutes les données le concernant sont des données personnelles, même dans un contexte B2B.
Pour les professions libérales (avocats, médecins, architectes), c'est pareil. Un cabinet médical avec le nom du praticien, c'est une donnée personnelle. Cette subtilité explique pourquoi la prospection dans le secteur médical nécessite une attention particulière en matière de RGPD.
💡 Conseil de pro : Pour minimiser les risques, privilégie dans tes campagnes de prospection les contacts génériques (contact@, info@, commercial@) et les numéros de standard. La personnalisation sera moindre, mais ta conformité RGPD sera renforcée. Tu peux ensuite basculer sur des contacts nominatifs une fois le premier contact établi avec l'entreprise.
Cas particuliers
Certaines situations méritent une attention spéciale. Les micro-entreprises et freelances dont le nom commercial est leur nom personnel sont intégralement protégés par le RGPD, même pour leur activité professionnelle. Les dirigeants de TPE/PME bénéficient aussi d'une protection, car leur fonction les identifie directement.
Les données firmographiques (secteur d'activité, chiffre d'affaires, effectif) ne sont pas personnelles en elles-mêmes. Mais quand tu les combines avec un nom et un poste ("Jean Dupont, DG d'une entreprise de 50 personnes dans le bâtiment"), tu crées une donnée personnelle. C'est le principe de l'identifiabilité indirecte.
Répartition des types de données dans une base B2B moyenne
Les données issues de sources publiques (registres du commerce, annuaires professionnels) restent soumises au RGPD. Le fait qu'une information soit publique ne te donne pas tous les droits. Tu dois quand même respecter les principes de finalité et de proportionnalité. D'ailleurs, les annuaires publics pour la prospection doivent être utilisés dans le cadre strict du RGPD.
Template exclusif : Registre de traitement RGPD spécial prospection B2B
Reçois notre template Word pré-rempli de registre de traitement des données, obligatoire dès 250 salariés mais recommandé pour toutes les structures. Conforme aux exigences CNIL 2026.
- Template Word modifiable et réutilisable
- Exemples concrets pour chaque rubrique
- Notice explicative incluse
Obligations légales
Maintenant qu'on a posé le cadre, rentrons dans le concret. Quelles sont tes obligations légales quand tu traites des données B2B ? Spoiler : c'est un peu moins contraignant que le B2C, mais tu dois quand même respecter plusieurs règles strictes sous peine de sanctions.
Consentement
Le consentement rgpd doit être libre, spécifique, éclairé et univoque. En prospection B2B, bonne nouvelle : tu n'as pas besoin du consentement préalable pour contacter un professionnel dans le cadre de son activité, à condition de respecter l'intérêt légitime. C'est une base légale alternative au consentement.
L'intérêt légitime, c'est quoi ? C'est la possibilité de traiter des données sans consentement si tu as un motif commercial légitime et que le traitement n'empiète pas excessivement sur les droits de la personne. Par exemple, proposer un logiciel de comptabilité à un expert-comptable relève de l'intérêt légitime. En revanche, lui proposer des cours de cuisine n'a aucun lien avec son activité professionnelle.
Action positive claire, possibilité de retrait facile, cases non pré-cochées, distinction par canal
Lien direct avec l'activité pro du contact, proportionnalité du traitement, possibilité d'opposition
Cases pré-cochées, silence valant acceptation, consentement global tous canaux, retrait complexe
Attention toutefois : même si le consentement préalable n'est pas obligatoire en B2B, tu dois toujours permettre à la personne de s'opposer facilement à la prospection. C'est le fameux lien de désinscription dans tes emails, obligatoire dans tous les cas.
Droit d'accès
Toute personne peut te demander si tu détiens des données sur elle et, le cas échéant, en obtenir une copie. En prospection B2B, ce droit s'applique pleinement. Si un prospect te contacte pour savoir d'où tu tiens ses coordonnées et ce que tu en fais, tu as 30 jours maximum pour répondre de manière complète et gratuite.
Ta réponse doit inclure : les données traitées, les finalités du traitement, les catégories de données concernées, les destinataires des données, la durée de conservation prévue, l'origine des données si tu ne les as pas collectées directement, l'existence d'un processus décisionnel automatisé (scoring, par exemple).
💡 Conseil de pro : Prépare un template de réponse pour les demandes d'accès. Ça te fera gagner un temps précieux et t'assurera de ne rien oublier. Conserve une trace de toutes les demandes et de tes réponses, c'est une bonne pratique en cas de contrôle CNIL.
Droit à l'oubli
Le droit à l'oubli rgpd permet à une personne d'obtenir l'effacement de ses données dans certains cas précis. En B2B, ce droit s'applique notamment si la personne retire son consentement (quand c'était la base légale), si elle s'oppose au traitement, si les données ne sont plus nécessaires, ou si le traitement est illicite.
Cependant, tu peux refuser l'effacement si tu as une obligation légale de conserver les données (facturation, comptabilité) ou si tu dois les garder pour constater, exercer ou défendre des droits en justice. Par exemple, si un prospect conteste une commande, tu peux légitimement conserver ses données le temps de résoudre le litige.
Attention : Le droit à l'oubli ne signifie pas que tu dois supprimer immédiatement toutes les données. Tu dois évaluer si une des exceptions s'applique. Mais dans le doute, efface. Et surtout, réponds toujours dans les 30 jours, même si c'est pour expliquer pourquoi tu refuses.
Portabilité des données
Ce droit permet à une personne de récupérer les données qu'elle t'a fournies dans un format structuré et lisible par machine, et de les transmettre à un autre responsable de traitement. En pratique, en prospection B2B, ce droit est rarement exercé. Mais tu dois quand même pouvoir y répondre.
Le format le plus simple : un fichier CSV ou Excel contenant les données concernées. Le délai : toujours 30 jours maximum. Et c'est gratuit, sauf demandes manifestement excessives.
Notification des violations
Si tu subis une violation de données (piratage, perte, accès non autorisé), tu as 72 heures pour notifier la CNIL si cette violation présente un risque pour les droits et libertés des personnes. Et si le risque est élevé, tu dois aussi informer directement les personnes concernées.
En B2B, une fuite d'emails professionnels est généralement considérée comme moins grave qu'une fuite de données bancaires ou de santé. Mais ne prends pas ça à la légère : une base de contacts avec numéros directs et informations sensibles peut justifier une notification.
Délais de réponse aux demandes RGPD
Prospection commerciale et RGPD
On arrive au cœur du sujet : comment faire de la prospection commerciale sans risquer une sanction RGPD ? Les règles ne sont pas les mêmes selon le canal utilisé et selon que tu cibles des particuliers ou des professionnels. Décortiquons chaque situation.
Cold calling
Le rgpd cold calling en B2B est relativement souple. Tu peux appeler un professionnel sur sa ligne directe ou son mobile professionnel sans consentement préalable, à condition que ton offre soit en lien avec son activité professionnelle. C'est l'intérêt légitime qui sert de base légale.
Mais attention : depuis la loi du 24 juillet 2020, certaines règles s'ajoutent. Tu ne peux pas appeler les particuliers inscrits sur Bloctel. Et même en B2B, certains professionnels (médecins libéraux, avocats) peuvent s'inscrire sur Bloctel s'ils reçoivent des appels sur leur ligne personnelle, même pour leur activité pro.
Les techniques de prospection téléphonique doivent évoluer pour intégrer ces contraintes. Un bon commercial sait aujourd'hui rebondir sur les questions de conformité et les transformer en argument de crédibilité.
Cold emailing
Le rgpd cold email en B2B est autorisé sans consentement préalable si tu respectes trois conditions cumulatives. Première condition : tu contactes un professionnel dans le cadre de ses fonctions (email pro, pas personnel). Deuxième condition : ton offre a un rapport direct avec sa profession. Troisième condition : tu lui donnes un moyen simple de refuser les communications futures (lien de désinscription).
Concrètement, tu peux envoyer un email de prospection efficace à marie.durand@entreprise.fr pour lui proposer un service en lien avec sa fonction, sans avoir demandé sa permission avant. Mais tu ne peux PAS utiliser son email personnel marie.durand@gmail.com trouvé sur LinkedIn, même si elle parle de son travail dessus.
Autre point crucial : chaque email doit contenir des mentions obligatoires. Ton identité (nom ou raison sociale), ton adresse physique, un lien de désinscription fonctionnel et visible, et idéalement une mention sur l'origine des données ("J'ai obtenu vos coordonnées via le registre du commerce" par exemple).
💡 Conseil de pro : Évite les objets trompeurs style "Re: notre conversation" si vous n'avez jamais échangé. C'est non seulement contraire au RGPD (principe de loyauté), mais aussi contre-productif : tu perds la confiance dès l'ouverture de l'email. La transparence paie toujours à moyen terme.
SMS marketing
Le SMS marketing en B2B est beaucoup plus encadré que l'email. La règle générale : tu as besoin du consentement préalable de la personne avant de lui envoyer un SMS commercial, même en B2B. C'est une différence majeure avec l'emailing.
L'exception : si la personne est déjà cliente et que tu lui envoies des SMS en rapport avec la relation commerciale existante (confirmation de commande, suivi de livraison), tu peux t'appuyer sur l'intérêt légitime. Mais pour de la pure prospection SMS vers des prospects froids, il te faut un opt-in préalable.
❌ SMS prospection sans opt-in
- Envoi massif vers base achetée
- Pas de relation commerciale préexistante
- Numéro personnel du contact
- Absence de moyen de désabonnement
✅ SMS prospection conforme
- Consentement explicite recueilli (formulaire, événement)
- Mention claire de la finalité SMS lors du recueil
- Possibilité STOP SMS gratuit mentionnée
- Fréquence raisonnable (pas de spam)
Opt-in vs. Opt-out
Comprendre la différence entre opt-in et opt-out est fondamental pour la conformité rgpd prospection. L'opt-in, c'est demander l'autorisation AVANT de prospecter. L'opt-out, c'est prospecter puis permettre à la personne de refuser les prochaines sollicitations.
En B2B, pour l'emailing et le phoning, l'opt-out suffit généralement : tu peux contacter sans autorisation préalable, mais tu dois permettre un refus facile. Pour le SMS et les canaux plus intrusifs, l'opt-in est souvent nécessaire. En B2C, l'opt-in est quasiment toujours obligatoire, quel que soit le canal.
Calculateur gratuit : Évalue le niveau de risque RGPD de tes campagnes
Outil en ligne qui analyse tes pratiques de prospection et te donne un score de risque RGPD avec recommandations personnalisées. Utilisé par 150+ entreprises.
- Score de risque en 10 questions (3 minutes)
- Rapport PDF détaillé téléchargeable
- Actions correctives priorisées
Droits des prospects
Tes prospects et clients disposent de droits fondamentaux sur leurs données. Tu dois non seulement les respecter, mais aussi être capable de prouver que tu les respectes. Passons en revue les droits les plus couramment exercés en prospection B2B.
Droit d'accès
Le droit d'accès permet à toute personne de savoir si tu traites des données sur elle et d'en obtenir une copie. En pratique, tu reçois un email : "Bonjour, j'aimerais savoir quelles données vous avez sur moi et d'où elles viennent". Tu as 30 jours pour répondre gratuitement.
Ta réponse doit être complète : les données elles-mêmes (nom, prénom, fonction, email, téléphone, entreprise), la source (achat de base, collecte sur site web, salon professionnel), les finalités (prospection commerciale pour nos services X), les destinataires (équipe commerciale interne uniquement ou partenaires le cas échéant), la durée de conservation prévue (3 ans sans interaction).
Délai maximum de réponse
Coût pour le demandeur (gratuit)
Si la demande est manifestement excessive (8e demande en 3 mois par exemple), tu peux facturer des frais raisonnables ou refuser. Mais attention, tu dois prouver le caractère excessif.
Droit de rectification
Si un prospect constate que ses données sont inexactes ou incomplètes, il peut demander leur rectification. Par exemple : "Mon poste a changé, je ne suis plus Responsable Marketing mais Directrice Marketing". Ou : "Vous avez le mauvais numéro de téléphone".
Tu dois rectifier dans les 30 jours maximum. Et si tu as transmis ces données à des tiers (partenaires, sous-traitants), tu dois aussi les informer de la rectification, sauf si c'est impossible ou disproportionné. Dans les faits, en prospection B2B, on rectifie généralement uniquement dans sa propre base.
💡 Conseil de pro : Profite des demandes de rectification pour enrichir ta base. C'est l'occasion rêvée d'obtenir des informations à jour, directement de la source. Remercie toujours le prospect pour sa diligence, ça améliore l'image de ton entreprise.
Droit à l'oubli
On en a déjà parlé, mais dans le contexte des droits des prospects, le droit à l'oubli rgpd mérite qu'on y revienne. Quand un prospect demande l'effacement de ses données, tu dois évaluer si l'une des exceptions légales s'applique.
Exceptions principales en prospection B2B : obligation légale de conservation (données de facturation pendant 10 ans), nécessité pour constater ou défendre des droits en justice (litige en cours), liberté d'expression et d'information (rare en B2B). Si aucune exception ne s'applique, tu effaces. Point.
L'effacement doit être complet : base commerciale, CRM, sauvegardes, archives. Et tu dois en informer les sous-traitants qui traitent ces données pour ton compte (plateforme d'emailing, centre d'appels externalisé). C'est là que ça devient technique et chronophage, d'où l'importance d'une bonne organisation dès le départ.
Droit d'opposition
Le droit d'opposition permet à une personne de refuser, à tout moment, que ses données soient utilisées pour de la prospection commerciale. C'est le fameux "Je ne souhaite plus recevoir vos communications". Contrairement aux autres droits, ici, tu n'as pas vraiment le choix : tu dois accepter l'opposition, sans exception.
Concrètement, ça se traduit par les liens de désinscription dans les emails, le "Ne plus me contacter" au téléphone, le STOP SMS. Tu dois traiter ces oppositions rapidement (quelques jours maximum, pas 30 jours) et les documenter soigneusement. Une personne qui s'oppose puis reçoit quand même un appel 2 semaines après, c'est le meilleur moyen de finir signalé à la CNIL.
Bonne pratique : Crée une liste de suppression (liste Robinson interne) où tu centralises toutes les oppositions, tous canaux confondus. Avant chaque campagne, tu croises ton fichier de prospection avec cette liste. C'est le meilleur garde-fou contre les erreurs.
Risques et sanctions
Parlons maintenant de ce qui fâche : les sanctions. Parce que le RGPD, ce n'est pas qu'une question de principe éthique. C'est aussi une réalité juridique avec des conséquences financières et réputationnelles potentiellement dévastatrices.
Amendes
Les amendes RGPD sont à deux niveaux. Le premier niveau (violations "simples") peut atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le second niveau (violations graves) monte jusqu'à 20 millions d'euros ou 4% du CA mondial.
Qu'est-ce qui relève du premier niveau ? Non-respect des principes de base (minimisation, limitation de finalité, durée de conservation), défaut de coopération avec la CNIL, non-notification d'une violation. Qu'est-ce qui relève du second niveau ? Absence de base légale pour le traitement, non-respect des droits des personnes, transferts illégaux vers des pays hors UE.
Montant moyen des amendes RGPD par secteur en France (2023)
Quelques exemples marquants : Google Ireland, 90 millions d'euros en 2020 pour cookies non consentis. Amazon, 746 millions d'euros en 2021 pour traitement illicite de données. Facebook Ireland, 265 millions d'euros en 2022 pour violation de données. Ces montants donnent le vertige, mais n'oublie pas que la CNIL adapte les sanctions à la taille de l'entreprise et à la gravité des faits.
💡 Conseil de pro : La CNIL prend en compte plusieurs critères pour fixer l'amende : nature et gravité de la violation, caractère intentionnel ou négligent, mesures prises pour atténuer le dommage, degré de coopération, antécédents. Si tu es de bonne foi et réactif, ça joue en ta faveur.
Responsabilité civile
Au-delà des amendes administratives, tu peux être condamné civilement à indemniser les personnes qui ont subi un préjudice du fait de ta non-conformité RGPD. Un prospect dont les données ont fuité peut réclamer des dommages et intérêts.
Le montant ? Ça dépend du préjudice subi. Pour une fuite d'emails professionnels, les tribunaux français ont jusqu'ici été plutôt modérés (quelques centaines à quelques milliers d'euros par personne). Mais en cas de fuite massive ou de données sensibles, les montants peuvent grimper.
Et attention : c'est toi, responsable de traitement, qui es responsable, même si c'est ton sous-traitant (plateforme emailing, hébergeur) qui a merdé. Tu peux te retourner contre lui ensuite, mais face au prospect lésé, c'est toi qui paies d'abord.
Dommages à la réputation
Au-delà des aspects financiers, le coût réputationnel d'une sanction RGPD peut être dévastateur. Les décisions de la CNIL sont publiques. Elles sont relayées dans la presse spécialisée, parfois dans la presse grand public pour les gros dossiers.
Imagine que tu prospectes des agences immobilières avec un argumentaire centré sur la sécurité et la conformité de ton logiciel métier. Et que dans le même temps, une recherche Google sur le nom de ta boîte fait ressortir une sanction CNIL pour non-respect du RGPD. Ta crédibilité s'effondre instantanément.
Des entreprises qui estiment que le RGPD renforce la confiance client
Des prospects B2B vérifient la conformité RGPD avant achat
Bonnes pratiques
Maintenant que tu connais les règles et les risques, voyons comment mettre en place une conformité rgpd prospection efficace et pérenne. Parce qu'être conforme, ce n'est pas si compliqué si tu structures bien les choses dès le départ.
Audit de conformité
Première étape : faire l'état des lieux. Quels traitements de données tu effectues actuellement ? Quelles sont tes sources de données ? Quel est ton processus de prospection ? Qui a accès aux données ? Combien de temps tu les conserves ?
L'audit de conformité RGPD, c'est un peu comme un bilan de santé pour ton activité de prospection. Tu dois cartographier tous tes traitements dans un registre. C'est obligatoire dès 250 salariés, mais fortement recommandé pour toutes les structures, même les plus petites.
- Cartographie les traitements Liste tous les fichiers prospects : CRM, tableurs, outils marketing, plateformes emailing. Pour chacun : finalité, base légale, catégories de données, destinataires, durée de conservation, mesures de sécurité.
- Identifie les zones de risque Traitement sans base légale claire ? Données conservées trop longtemps ? Pas de lien de désinscription ? Partage avec des tiers non documenté ? Note tout ce qui cloche.
- Priorise les actions correctives Commence par les risques les plus élevés et les plus simples à corriger. Parfois, ajouter un lien de désinscription ou supprimer les données de plus de 3 ans règle 80% des problèmes.
- Planifie la mise en conformité Définis un calendrier réaliste, avec des responsables pour chaque action. Et surtout, budgétise si nécessaire (outils, formation, conseil juridique).
Si tu utilises des bases de données entreprises externes, vérifie systématiquement auprès du fournisseur comment il a collecté les données et quelle est sa propre conformité RGPD. Un bon fournisseur sera transparent sur ces aspects.
Documentation
Le RGPD impose une obligation de responsabilité (accountability en anglais). Traduction : tu dois pouvoir prouver ta conformité. Et pour prouver, il faut documenter. Tout.
Documents essentiels à tenir à jour : registre des traitements (qui liste tous tes fichiers prospects avec leurs caractéristiques), politique de confidentialité (visible sur ton site et tes outils de collecte), procédures internes pour gérer les demandes d'exercice de droits, contrats avec tes sous-traitants (clause RGPD obligatoire), analyses d'impact si tu traites des données sensibles à grande échelle.
Document central qui liste tous tes fichiers de données, leur finalité et leurs caractéristiques. À mettre à jour au moins 1 fois par an.
Clause RGPD dans tous les contrats avec fournisseurs qui accèdent aux données (emailing, CRM cloud, centre d'appels).
Horodatage, formulaire exact, case non cochée par défaut. Garde tout pour prouver le consentement en cas de litige.
Cette documentation, ce n'est pas de la paperasse inutile. C'est ta meilleure défense en cas de contrôle CNIL ou de plainte d'un prospect. Et accessoirement, c'est aussi un excellent moyen de structurer tes process et d'améliorer l'efficacité de ton équipe commerciale.
Consentement explicite
Quand tu as besoin d'un consentement rgpd (SMS prospection, certains cas d'emailing), il doit être explicite et traçable. Concrètement : une case à cocher (non cochée par défaut), un texte clair qui explique exactement ce à quoi la personne consent ("J'accepte de recevoir des offres commerciales par SMS de la part de [ta société]"), la possibilité de retirer le consentement aussi facilement qu'il a été donné.
Et tu dois pouvoir prouver que le consentement a été donné. Conserve : la date et l'heure, le texte exact présenté, l'adresse IP si c'est un formulaire web, l'état de la case (cochée manuellement par l'utilisateur). Ces preuves doivent être conservées aussi longtemps que tu exploites le consentement, plus un délai de prescription de 5 ans.
💡 Conseil de pro : Utilise le double opt-in pour le consentement emailing, même en B2B quand tu l'exiges. La personne remplit le formulaire, reçoit un email de confirmation avec un lien à cliquer, et c'est seulement après ce clic que tu l'inscris. Ça réduit drastiquement les plaintes et améliore la qualité de ta base.
Sécurité des données
Tu dois mettre en place des mesures techniques et organisationnelles pour protéger les données de tes prospects. Ça comprend : accès restreint aux données (pas tout le monde n'a besoin d'accéder à toute la base), mots de passe robustes et authentification à deux facteurs, chiffrement des données sensibles, sauvegardes régulières, politique de gestion des départs (on coupe immédiatement les accès).
Côté organisationnel : sensibilisation régulière des équipes au RGPD, clause de confidentialité dans les contrats de travail, procédure claire en cas de violation de données (qui contacter, comment réagir, dans quel délai), audit de sécurité régulier (au moins annuel).
Kit complet : 15 templates RGPD prêts à l'emploi pour ta prospection
Pack de documents conformes CNIL 2026 : mentions légales, politique de confidentialité, réponses types aux demandes de droits, clauses contrats sous-traitants, formulaires consentement.
- 15 documents Word/PDF modifiables
- Conformes dernières recommandations CNIL
- Guide d'utilisation inclus
Si tu es une petite structure sans service juridique dédié, tu peux faire appel à un DPO externe (Délégué à la Protection des Données) mutualisé. Ce n'est pas obligatoire pour tous (sauf organismes publics ou traitement à grande échelle de données sensibles), mais c'est un vrai plus pour sécuriser ta conformité.
Enfin, n'oublie pas que la conformité RGPD est un processus continu, pas un état figé. Les pratiques évoluent, les recommandations de la CNIL aussi. Prévois un point de revue au moins annuel pour vérifier que tout est toujours OK. Et surtout, reste en veille sur les évolutions réglementaires. Les tendances de la prospection B2B incluent désormais systématiquement les aspects réglementaires.
Conclusion
Le RGPD en B2B, c'est finalement moins effrayant qu'il n'y paraît. Oui, il y a des règles strictes. Oui, les sanctions peuvent être lourdes. Mais avec un minimum de rigueur et de bon sens, tu peux parfaitement mener des campagnes de prospection efficaces tout en restant conforme.
Les points clés à retenir : les rgpd données b2b sont concernées dès qu'une personne physique est identifiable, l'intérêt légitime te permet de prospecter en B2B sans consentement préalable mais avec possibilité d'opt-out, tu dois respecter cinq droits fondamentaux de tes prospects (accès, rectification, oubli, portabilité, opposition), la documentation est ton meilleur allié en cas de contrôle.
Et surtout, vois le RGPD non pas comme une contrainte mais comme une opportunité. Une opportunité de nettoyer tes bases, d'améliorer la qualité de tes données, de renforcer la confiance avec tes prospects, et de te différencier de concurrents moins scrupuleux. La conformité RGPD est devenue un argument commercial à part entière.
Besoin d'une base de données B2B 100% conforme RGPD ?
Accède à nos bases de données qualifiées et conformes, mises à jour quotidiennement. Sources vérifiées, opt-out géré automatiquement, documentation complète fournie.
Découvrir nos bases de données conformesFAQ
Le RGPD s'applique-t-il vraiment aux emails professionnels ?
Oui, dès que l'email permet d'identifier une personne physique. Un email nominatif comme prenom.nom@entreprise.com est une donnée personnelle protégée par le RGPD. En revanche, un email générique comme contact@entreprise.com n'est pas considéré comme une donnée personnelle.
Puis-je acheter une base de données B2B sans risque RGPD ?
Oui, à condition de choisir un fournisseur sérieux qui respecte lui-même le RGPD. Vérifie toujours : la source de collecte des données, la date de dernière mise à jour, l'existence d'un processus de gestion des oppositions, et demande une clause de garantie de conformité dans le contrat. Si tu veux acheter une base de données entreprises, ces vérifications sont essentielles.
Combien de temps puis-je conserver les données d'un prospect qui ne répond pas ?
La durée généralement admise par la CNIL pour la prospection commerciale B2B est de 3 ans à compter du dernier contact (dernier email ouvert, dernier appel, dernière visite sur le site). Au-delà, si le prospect n'a montré aucun intérêt, tu dois supprimer ou anonymiser ses données.
Que risque-t-on concrètement en cas de non-conformité RGPD en prospection B2B ?
Les sanctions vont de l'avertissement (pour les premiers manquements mineurs) aux amendes pouvant atteindre 20 millions d'euros ou 4% du CA mondial. En pratique, pour une PME en prospection B2B, les amendes prononcées tournent plutôt entre 10 000 et 100 000 euros selon la gravité. Mais le risque réputationnel est souvent plus grave que l'amende elle-même.
Comment gérer les demandes de droit à l'oubli de mes prospects ?
Tu as 30 jours maximum pour répondre. Vérifie d'abord si une exception s'applique (obligation légale de conservation, litige en cours). Si aucune exception, efface les données de tous tes systèmes (CRM, plateforme emailing, sauvegardes). Informe les sous-traitants qui traitent ces données. Et confirme l'effacement par écrit au demandeur.
Le cold emailing B2B est-il vraiment autorisé sans consentement préalable ?
Oui, en France et dans la plupart des pays européens, le rgpd cold email B2B est autorisé sous trois conditions : email professionnel (pas personnel), offre en lien direct avec l'activité professionnelle du destinataire, et possibilité de désinscription simple et visible dans chaque email. C'est l'intérêt légitime qui sert de base légale.
Dois-je nommer un DPO (Délégué à la Protection des Données) ?
Ce n'est obligatoire que dans trois cas : organisme public, activité de suivi régulier et systématique à grande échelle des personnes, ou traitement à grande échelle de données sensibles. Pour une PME qui fait de la prospection B2B classique, ce n'est pas obligatoire. Mais ça peut être judicieux de faire appel à un DPO externe mutualisé pour sécuriser ta conformité.
Que faire si je découvre une violation de données (fuite, piratage) ?
Tu as 72 heures pour notifier la CNIL si la violation présente un risque pour les droits des personnes. En pratique : contiens d'abord la violation (coupe l'accès, change les mots de passe), évalue l'ampleur et le risque, notifie la CNIL via le téléservice dédié, et informe directement les personnes concernées si le risque est élevé. Documente tout pour prouver ta réactivité.
Besoin de conseils personnalisés sur ta conformité RGPD ?
Notre équipe t'accompagne dans l'audit de tes pratiques de prospection et la mise en conformité RGPD. Diagnostic gratuit de 30 minutes pour identifier tes zones de risque.
Nous contacter pour des conseilsBesoin de contacts ?
Accedez a des fichiers de contacts verifies par secteur et par ville. Des 29 euros.
Demander mon fichier