RGPD et prospection : ce que la CNIL attend vraiment de vous
En prospection commerciale, difficile de faire l’impasse sur les données personnelles. Que ce soit pour qualifier un lead, enrichir une base ou lancer une campagne d’emails, vous manipulez chaque jour des informations sensibles. Et là, une seule règle du jeu : respecter le RGPD et les recommandations de la CNIL.
Mais concrètement, quelles sont vos obligations ? Qu’est-ce que vous avez le droit de faire ou non ? Et surtout, comment rester conforme sans freiner vos actions de prospection ? C’est ce que je vous propose de voir ici, point par point, avec zéro jargon juridique inutile et un maximum de règles applicables dès maintenant sur le terrain.
Le cadre légal de la prospection B2B : ce que dit la CNIL
Premier point essentiel : la prospection commerciale est autorisée… mais pas sans cadre. Que vous contactiez des particuliers ou des professionnels, le RGPD s’applique dès que vous traitez des données permettant d’identifier une personne physique. Oui, cela inclut aussi les emails pro du type prenom.nom@entreprise.com.
En B2B, la CNIL tolère une forme de souplesse, mais certaines règles demeurent non négociables :
- Principe de transparence : dès que vous collectez une donnée, la personne concernée doit être informée de l’identité du responsable de traitement, des finalités de la collecte, de ses droits, etc.
- Respect du droit d’opposition : votre cible doit pouvoir dire stop à tout moment et facilement. Et vous devez respecter ce refus sans chipoter.
- Finalité déterminée : vous ne pouvez pas collecter des données « au cas où ». Il faut une finalité claire, légitime et compatible avec vos activités commerciales.
- Minimisation des données : ne gardez que ce qui est strictement nécessaire pour votre prospection. Inutile de collecter la date d’anniversaire ou les hobbies si ça n’apporte rien à votre cycle de vente.
Autrement dit : oui, vous pouvez faire de la prospection sans consentement explicite en B2B, si elle est ciblée et liée à des produits/services pertinents pour l’activité professionnelle du contact. Sinon, ça ne passe pas.
Base de données et CRM : le cœur de votre conformité
Votre base de prospection, c’est votre trésor. Mais pour qu’elle ne devienne pas un boulet juridique, il faut la gérer proprement :
- Tenez un registre de traitement : pas besoin d’un document de 40 pages. Un tableau clair listant vos traitements, les types de données, les durées de conservation et les mesures de sécurité suffit. Il est obligatoire dès le premier fichier comportant des données personnelles.
- Maîtrisez vos sources : collecter des leads sur LinkedIn ou scraper des sites d’entreprises peut être légal… à condition que vous puissiez prouver d’où viennent les données et pour quelle finalité vous les utilisez. Pensez à documenter tout ça dans votre CRM ou outil de qualification.
- Ajoutez un champ “RGPD compliant” dans votre CRM : permettez à votre équipe de savoir si un contact a déjà été informé de la collecte, s’il s’est opposé, ou s’il a été recontacté.
Astuce terrain : chez un de mes clients SaaS, on a mis en place un système simple : toute prise de contact initiale est suivie d’un court message d’information RGPD envoyé automatiquement dans les 24h. Résultat : des prospects informés, une conformité béton, et zéro plainte en 18 mois.
Emailing de prospection : le test de légitimité
La question que tout le monde me pose : peut-on envoyer un email de prospection sans consentement préalable en B2B ? Réponse : oui, mais sous conditions.
Voici les critères fixés par la CNIL pour qu’un emailing commercial vers des professionnels soit conforme, sans besoin de consentement :
- Le message est adressé à une adresse professionnelle nominative (pas un formulaire anonyme ou un groupe générique).
- Le produit ou service proposé est en lien avec l’activité professionnelle du destinataire.
- Le message contient des mentions claires d’identification de l’expéditeur.
- Un moyen simple et explicite de s’opposer à la communication est mis en place, idéalement via un lien de désinscription.
Exemple : si vous vendez un logiciel RH et que vous contactez des DRH ou responsables RH d’entreprises, c’est justifié. Si vous contactez des comptables en leur vendant une solution de marketing, ça coince.
Et les emails “Ça vous dirait qu’on échange 10 min ?” ne sont pas au-dessus du lot. Si vous les automatisez à scale, vous devez respecter les mêmes règles. Le processus “humain simulé” n’annule pas vos obligations.
Script d’appel et messages LinkedIn : oui, mais avec bon sens
Le téléphone et LinkedIn restent des canaux puissants de prospection. Et ici aussi, attention à la conformité.
Appels téléphoniques : vous devez informer la personne contactée de vos intentions, et lui permettre de s’opposer à l’appel ou à tout futur démarchage. Pensez à intégrer cette mention dans votre script de prise de contact :
“Je vous appelle dans un cadre purement professionnel au sujet de [nom du produit/service], qui peut intéresser votre entreprise. Si vous le souhaitez, je peux vous désinscrire de notre base et ne plus vous recontacter.”
Sur LinkedIn : tant que votre message est personnalisé, non automatisé et pertinent, ça passe. Mais évitez les envois massifs via des robots. Et si vous exportez les coordonnées ensuite, vous retombez sous le coup du RGPD.
À faire : sollicitez un premier contact, informez votre cible de la manière dont vous avez obtenu son profil, et proposez toujours une option de retrait.
Formulaires et landing pages : informez avant d’enregistrer
Si vous générez des leads via des formulaires (webinar, livre blanc, démonstration, etc.), assurez-vous que les visiteurs sachent exactement ce que vous allez faire de leurs données.
Voilà ce que vous devez afficher à proximité du formulaire :
- L’identité du responsable de traitement (votre entreprise).
- Les finalités (ex : prise de contact commerciale, envoi de contenus).
- Le fondement légal (généralement “intérêt légitime” pour le B2B).
- Les droits des personnes (accès, modification, opposition, suppression).
- Un lien vers votre politique de confidentialité.
Idéalement, placez cette information dans un mini-texte juste sous le bouton de validation. Pas besoin de 15 lignes : soyez direct et transparent.
Durée de conservation : quand faut-il purger sa base de prospection ?
La CNIL recommande de ne pas conserver les données de prospection B2B au-delà de 3 ans après le dernier contact ou la dernière interaction. Cela peut sembler court, mais c’est votre meilleure carte pour rester “compliant”.
Bonnes pratiques terrain :
- Paramétrez une alerte dans votre CRM pour archiver les leads inactifs au bout de 2 ans d’inactivité.
- Envoyez une relance informative avant suppression pour réengager éventuellement.
- Documentez chaque action dans votre pipeline (même un refus de contact compte comme interaction).
Attention : la conservation n’est pas interdite après les 3 ans, mais elle doit être justifiée. Dans le doute, mieux vaut assainir que stocker.
Séquencer conformité et performance : la méthode triple R
Comment rester dans les clous sans saboter votre taux de conversion ? Voici une méthode simple et actionnable que je recommande souvent à mes clients : la méthode Triple R.
- R comme Raison : chaque contact doit avoir une bonne raison d’être dans votre pipeline. Vérifiez la pertinence professionnelle avant d’ajouter une ligne à votre base.
- R comme Référence : tracez toujours la source de vos leads. Est-ce un salon, un téléchargement, LinkedIn, une recommandation ? Notez-le dans votre CRM.
- R comme Respect : soyez carré sur l’information, offrez une porte de sortie claire, traitez les objections RGPD avec sérieux, et soyez irréprochable si vous tombez sur un DPO suspicieux.
À la clé ? Un workflow optimisé, 100% conforme, prêt à passer un audit CNIL avec sérénité… tout en faisant tourner la machine à leads comme il se doit.
Checklist express pour prospecter dans les règles
Avant de lancer votre prochaine campagne de prospection, demandez-vous :
- Ai-je une base qualifiée, tracée et à jour ?
- Mes messages sont-ils pertinents et liés à une activité professionnelle ciblée ?
- J’informe mes prospects de façon claire et systématique ?
- Un lien de désabonnement est-il présent dans chaque email ?
- Mon CRM permet-il de noter les oppositions ou les retraits de consentement ?
- Ai-je défini une durée maximale de conservation pour mes données ?
Si vous cochez toutes les cases, foncez. Sinon, prenez une heure pour corriger le tir. Mieux vaut perdre 60 minutes aujourd’hui que se retrouver avec un signalement CNIL sur les bras demain.
Vous voulez aller plus loin et automatiser proprement tout ça ? J’y reviendrai prochainement avec des templates d’emails conformes, des checklists de sécurité CRM, et un audit express en 30 minutes. Stay tuned !