Bases légales pour l’enrichissement de données B2B : ce que dit vraiment le RGPD

L’enrichissement de données B2B est devenu un pilier de la prospection commerciale moderne. Mais entre les promesses des outils d’enrichissement et les exigences du RGPD, beaucoup d’équipes commerciales naviguent à vue — risquant une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

La bonne nouvelle : enrichir des données B2B est parfaitement légal, à condition de s’appuyer sur les bonnes bases juridiques et de respecter quelques obligations concrètes. Ce guide vous explique exactement ce que le RGPD autorise, ce qu’il interdit, et comment mettre en place un processus d’enrichissement conforme — sans sacrifier votre performance commerciale.

Enrichissez vos données B2B dans Google Sheets

Trouvez emails professionnels et téléphones de vos prospects directement depuis LinkedIn, sans quitter votre feuille de calcul.

Essayer gratuitement →

Enrichissement de données B2B et RGPD : un malentendu fréquent

Avant d’entrer dans le vif du sujet, clarifions une confusion très répandue : le RGPD ne s’applique pas aux mêmes données selon qu’il s’agit d’informations sur une entreprise ou sur une personne physique.

Le RGPD protège les données personnelles, c’est-à-dire toute information permettant d’identifier directement ou indirectement une personne physique. En B2B, cela concerne principalement :

• Les adresses email nominatives (ex. : thomas.dupont@startup.fr)
• Les numéros de téléphone directs ou mobiles
• Les noms et prénoms des contacts

En revanche, les données purement liées à une personne morale (l’entreprise elle-même) sont hors champ du RGPD. Une adresse contact@entreprise.com, un numéro de SIREN, un chiffre d’affaires public — ces informations ne désignent pas une personne physique identifiable et peuvent être utilisées librement.

Cette distinction est fondamentale : elle détermine quelles données nécessitent une base légale, et lesquelles peuvent être exploitées sans contrainte particulière. Gardez-la en tête pour la suite de ce guide.

Les 6 bases légales du RGPD : laquelle s’applique à l’enrichissement B2B ?

L’article 6 du RGPD définit six fondements juridiques autorisant le traitement de données personnelles. Pour être conforme, chaque traitement doit obligatoirement s’appuyer sur l’une d’elles. En voici le panorama appliqué au contexte de l’enrichissement B2B.

1. Le consentement (article 6.1.a)

Le consentement suppose que la personne a explicitement accepté le traitement de ses données, de manière libre, éclairée et spécifique. En B2B, cette base est rarement utilisée pour l’enrichissement externe, car elle impose de recueillir le consentement avant d’enrichir les données — ce qui est techniquement difficile à mettre en œuvre sur des bases achetées ou scrappées.

Elle reste pertinente pour l’enrichissement progressif via des formulaires ou des contenus gated, où l’utilisateur soumet volontairement ses informations.

2. Le contrat (article 6.1.b)

Cette base légale s’applique lorsque le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée, ou à des mesures précontractuelles prises à sa demande. Elle couvre, par exemple, l’enrichissement des données d’un client existant pour lui adresser une facture ou personnaliser un service.

Elle ne justifie pas l’enrichissement de prospects que vous n’avez pas encore contactés.

3. L’obligation légale (article 6.1.c)

Certains secteurs réglementés (finance, assurance) imposent des vérifications spécifiques — connaissance client (KYC), vérification de solvabilité. Ce sont les seuls cas où l’enrichissement peut être fondé sur une obligation légale. Hors de ces contextes, cette base reste marginale pour la prospection commerciale.

4. La sauvegarde des intérêts vitaux (article 6.1.d)

Sans pertinence pour l’enrichissement B2B.

5. L’intérêt public (article 6.1.e)

Réservé aux autorités publiques et organismes exerçant des missions d’intérêt général. Non applicable en B2B commercial.

6. L’intérêt légitime (article 6.1.f) ← La base clé de l’enrichissement B2B

C’est la base légale la plus utilisée pour l’enrichissement de données B2B. Elle autorise le traitement de données personnelles lorsque l’intérêt de l’entreprise est réel, proportionné, et ne l’emporte pas sur les droits et libertés fondamentaux de la personne.

Pour la prospection B2B, cela signifie concrètement : vous pouvez enrichir vos données et contacter des professionnels sans leur consentement préalable, à condition de respecter des règles précises que nous détaillons dans la section suivante.

Ces bases légales étant posées, voyons maintenant comment l’intérêt légitime s’applique concrètement à votre processus d’enrichissement.

L’intérêt légitime en pratique : ce que vous pouvez (et ne pouvez pas) faire

L’intérêt légitime est une notion souple mais encadrée. Elle ne constitue pas un blanc-seing pour traiter n’importe quelle donnée à n’importe quelle fin. Pour qu’il soit valablement invoqué, deux conditions cumulatives doivent être réunies.

Condition 1 : Un intérêt réel et légitime

Votre objectif commercial doit être clairement défini. L’enrichissement d’une base de contacts pour améliorer la qualité de votre prospection, personnaliser vos messages ou scorer vos leads entre dans ce cadre. En revanche, constituer des profils détaillés sur des individus sans projet commercial précis, ou collecter des données au-delà de ce qui est nécessaire, ne peut pas être justifié par l’intérêt légitime.

Condition 2 : La mise en balance avec les droits des personnes

Le traitement ne doit pas porter atteinte de manière disproportionnée aux droits et aux intérêts des personnes concernées. En pratique, cela implique de cibler des professionnels dont la fonction est directement en lien avec votre offre. Un SDR qui vend un logiciel RH ne peut pas invoquer l’intérêt légitime pour contacter le responsable comptable d’une PME — le lien fonctionnel n’est pas établi.

Ce que l’intérêt légitime vous permet de faire :

• Enrichir des profils professionnels avec leur email, téléphone et informations firmographiques
• Contacter des prospects sans consentement préalable (opt-out autorisé, pas opt-in)
• Utiliser des bases de données tierces ou des outils d’enrichissement, sous réserve que le fournisseur soit lui-même conforme au RGPD

Ce qu’il ne vous permet PAS de faire :

• Enrichir des données B2C sans consentement explicite
• Collecter des données sensibles (santé, opinions politiques, origine ethnique)
• Constituer des profils détaillés sans finalité commerciale précise
• Cibler des personnes dont la fonction n’a aucun rapport avec votre offre

Bon à savoir : La CNIL recommande de documenter votre analyse d’intérêt légitime (appelée LIA — Legitimate Interest Assessment) et de la conserver en interne. Ce document décrit pourquoi l’intérêt de votre entreprise prévaut sur les droits des personnes pour ce traitement spécifique.

Les obligations pratiques : ce que vous devez faire pour rester conforme

Invoquer l’intérêt légitime ne suffit pas. Le RGPD impose plusieurs obligations concrètes que vous devez respecter dans votre processus d’enrichissement et de prospection.

Obligation 1 : Informer dès le premier contact (article 14 RGPD)

C’est l’obligation la plus souvent négligée. Lorsque vous utilisez des données que vous n’avez pas collectées directement auprès de la personne (données achetées, scrappées, ou enrichies via un outil tiers), vous devez informer cette personne dès votre premier message des éléments suivants :

• L’identité de votre entreprise (responsable de traitement)
• La source des données (comment vous avez obtenu ses coordonnées)
• La finalité du traitement (prospection commerciale)
• La base légale invoquée (intérêt légitime)
• Les droits dont dispose la personne (accès, rectification, opposition)

En pratique, cela se traduit par une mention dans le pied de votre email de prospection du type : “Vos coordonnées professionnelles ont été obtenues via [source]. Conformément au RGPD, vous pouvez vous opposer à ce traitement en cliquant ici.”

Obligation 2 : Proposer un opt-out simple et gratuit

Chaque communication commerciale doit inclure un lien de désinscription fonctionnel. Dès qu’une personne exerce son droit d’opposition, vous devez :

• Cesser immédiatement tout contact
• Supprimer ou mettre en liste de suppression ses données
• Documenter la demande dans votre registre de traitements

Obligation 3 : Maintenir un registre des activités de traitement

Toute entreprise traitant des données personnelles doit tenir un registre détaillant ses traitements : description des données enrichies, finalité, base légale, durée de conservation, sous-traitants impliqués. Ce registre est obligatoire pour les entreprises de plus de 250 salariés et fortement recommandé pour les structures plus petites.

Obligation 4 : Travailler avec des sous-traitants conformes

Si vous utilisez un outil d’enrichissement tiers (qu’il s’agisse d’une API ou d’une extension), vous devez vous assurer que ce prestataire est lui-même conforme au RGPD. Cela implique de signer un accord de sous-traitance des données (DPA — Data Processing Agreement) avec chaque fournisseur qui traite des données pour votre compte.

Un fournisseur incapable de justifier la provenance de ses données ou de signer un DPA est un signal d’alerte majeur.

Données d’entreprise vs données personnelles : où tracer la ligne

Pour l’enrichissement de données B2B, la distinction entre données d’entreprise et données personnelles conditionne directement le niveau de contrainte applicable.

En pratique, un workflow d’enrichissement complet exploite les deux types de données. Les données firmographiques (secteur, taille, technologies) ne nécessitent aucune base légale particulière. Ce sont les coordonnées nominatives qui déclenchent les obligations RGPD.

Cette stratification vous permet d’adopter une approche proportionnée : enrichissez librement vos données d’entreprise, et appliquez un cadre plus rigoureux pour les contacts individuels.

Comment choisir un outil d’enrichissement conforme au RGPD

Le choix de votre outil d’enrichissement engage directement votre responsabilité. En tant que responsable de traitement, vous répondez de la conformité de vos prestataires devant la CNIL.

Voici les critères à évaluer avant de vous engager avec un fournisseur de données :

1. Transparence sur la source des données

Le fournisseur doit être capable d’expliquer précisément d’où proviennent ses données : sources publiques, opt-ins recueillis, partenariats, crawling de sites professionnels. Une réponse vague sur ce point est rédhibitoire.

2. Existence d’un DPA signable

Tout prestataire qui traite des données personnelles pour votre compte doit proposer un accord de sous-traitance des données. L’absence de DPA expose votre entreprise à un risque juridique direct.

3. Mécanisme de gestion des droits

Le fournisseur doit disposer d’une liste de suppression (opt-out list) permettant d’honorer les demandes d’opposition. Si quelqu’un vous demande de supprimer ses données, elles ne doivent pas réapparaître à la prochaine mise à jour de votre base.

4. Hébergement et transferts hors UE

Les données doivent être hébergées dans l’Union Européenne ou dans un pays offrant un niveau de protection adéquat reconnu par la Commission européenne. Les outils américains sans garanties contractuelles appropriées (clauses contractuelles types ou BCR) sont à risque.

5. Politique de mise à jour des données

Selon une estimation fréquemment citée dans le secteur, environ 30 % des données B2B deviennent obsolètes chaque année — changements de poste, départs d’entreprise, évolutions d’email. Un fournisseur qui ne met pas à jour ses données régulièrement vous expose à contacter des personnes sur des coordonnées périmées, ce qui nuit à votre délivrabilité et à votre conformité.

Enrichissement interne vs enrichissement externe : quel cadre légal ?

Les contraintes RGPD ne sont pas les mêmes selon la nature de votre processus d’enrichissement.

L’enrichissement interne repose sur des données que vous avez vous-même collectées dans un cadre légal préexistant — historiques d’interactions, formulaires remplis volontairement, données CRM issues de vos clients. C’est la méthode la plus sûre sur le plan juridique : la base légale initiale (consentement ou intérêt légitime) couvre généralement l’enrichissement ultérieur, dans la limite de la finalité déclarée.

L’enrichissement externe consiste à ajouter des données issues de sources tierces — bases de données B2B, APIs d’enrichissement, outils de scraping. Il est autorisé, mais impose des obligations supplémentaires :

• Vérification de la conformité du fournisseur (voir critères ci-dessus)
• Obligation d’information renforcée (article 14 RGPD)
• Documentation de la base légale invoquée

L’enrichissement externe est aujourd’hui la pratique dominante chez les équipes commerciales performantes. Avec des outils comme Derrick, il est possible d’enrichir directement dans Google Sheets les données de vos prospects LinkedIn — emails professionnels, téléphones, informations firmographiques — en gardant une traçabilité complète des sources.

Pour aller plus loin sur les méthodes et les bonnes pratiques, consultez notre guide complet sur l’enrichissement de base de données B2B.

Les erreurs les plus courantes (et comment les éviter)

Problème 1 : Utiliser des données sans base légale documentée

Symptôme : Vous enrichissez et prospectez sans avoir formellement établi sur quelle base légale vous vous appuyez.

Impact : En cas de contrôle CNIL, l’absence de documentation est considérée comme une violation en soi, indépendamment de la légalité de vos pratiques effectives. Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Solution : Rédigez une note interne (ou une LIA — Legitimate Interest Assessment) précisant pour chaque type de traitement : la finalité, la base légale, l’analyse de proportionnalité, les mesures de protection. Ce document doit être accessible sur demande de la CNIL.

Problème 2 : Ne pas informer les prospects de l’origine de leurs données

Symptôme : Vos emails de prospection ne mentionnent pas la source des coordonnées ni les droits des destinataires.

Impact : Violation directe de l’article 14 du RGPD. La CNIL peut prononcer une mise en demeure et, en cas de récidive, une amende. C’est aussi un vecteur de défiance chez vos prospects.

Solution : Ajoutez systématiquement dans le pied de vos emails une mention courte mais complète : source des données, lien de désinscription, référence à votre politique de confidentialité. Exemple : “Vos coordonnées professionnelles ont été obtenues via LinkedIn. Pour vous opposer à ce traitement : [lien].”

Problème 3 : Travailler avec un fournisseur de données non conforme

Symptôme : Votre fournisseur d’enrichissement n’a pas de DPA, héberge ses données aux États-Unis sans garanties, ou est incapable d’expliquer la provenance de ses données.

Impact : Vous devenez co-responsable de ses pratiques non conformes. La CNIL peut sanctionner l’ensemble de la chaîne de traitement.

Solution : Exigez systématiquement un DPA signé, un document détaillant les sources de données, et des informations sur l’hébergement. Si le fournisseur refuse ou ne peut pas répondre à ces questions, cherchez une alternative.

Problème 4 : Enrichir des données sans limiter la conservation

Symptôme : Des données enrichies restent indéfiniment dans votre CRM, y compris pour des contacts qui ont demandé à être supprimés ou pour des leads jamais qualifiés.

Impact : Violation du principe de limitation de la conservation (article 5 RGPD). Accumulation de données obsolètes qui nuisent également à la qualité de votre pipeline.

Solution : Définissez une politique de rétention claire : par exemple, les leads non convertis sont supprimés ou anonymisés après 24 mois, les demandes d’opposition sont tracées dans une liste de suppression permanente.

Problème 5 : Cibler sans pertinence fonctionnelle

Symptôme : Vous enrichissez et contactez des prospects dont la fonction n’a aucun rapport avec votre offre (ex. : vendre un outil de prospection à un responsable technique dans une boulangerie).

Impact : L’intérêt légitime ne peut pas être invoqué si le lien fonctionnel est inexistant. Le traitement devient illicite. Vous risquez également des taux de plainte élevés qui peuvent déclencher un contrôle CNIL.

Solution : Définissez précisément votre ICP (Ideal Customer Profile) avant d’enrichir. Utilisez des outils de scoring et de segmentation pour ne cibler que des profils dont la fonction est directement liée à votre offre.

Enrichissement B2B et RGPD : le tableau récapitulatif

À retenir

• Le RGPD autorise l’enrichissement de données B2B : la base légale principale est l’intérêt légitime (article 6.1.f), sans consentement préalable requis.
• Seules les données permettant d’identifier une personne physique sont soumises au RGPD — les données purement firmographiques (entreprise, secteur, CA) sont hors champ.
• L’article 14 impose d’informer chaque contact dès le premier message : source des données, finalité, droits disponibles, lien de désinscription.
• Travailler avec un fournisseur non conforme engage votre responsabilité : exigez toujours un DPA signé et une explication claire de la provenance des données.
• Documentez votre analyse d’intérêt légitime (LIA) pour chaque traitement — c’est votre bouclier en cas de contrôle CNIL.
• L’enrichissement interne (données CRM existantes) est plus simple à justifier que l’enrichissement externe (sources tierces), mais les deux sont légaux sous les bonnes conditions.

Conclusion : enrichir sans risquer

La conformité RGPD n’est pas un frein à l’enrichissement de données B2B — c’est un cadre qui protège à la fois vos prospects et votre entreprise. En vous appuyant sur l’intérêt légitime, en informant vos contacts dès le premier message, et en travaillant avec des prestataires transparents sur leurs pratiques, vous pouvez enrichir et prospecter en toute légalité.

Les équipes commerciales qui ont intégré ces règles en font d’ailleurs un avantage compétitif : des données de meilleure qualité, mieux ciblées, qui génèrent moins de plaintes et de meilleures performances de délivrabilité.

Pour vérifier et nettoyer vos listes d’emails après enrichissement, ou pour trouver les emails professionnels de vos prospects directement dans Google Sheets, Derrick vous accompagne à chaque étape — avec une traçabilité complète des sources.

Enrichissez vos données B2B en conformité avec le RGPD

Derrick enrichit vos leads directement dans Google Sheets : emails vérifiés, téléphones, données LinkedIn — avec des sources transparentes et documentées.

Essayer gratuitement →

FAQ

Peut-on enrichir des données B2B sans consentement ? Oui. En B2B, le consentement préalable n’est pas requis si vous invoquez l’intérêt légitime (article 6.1.f du RGPD). Vous devez en revanche informer le contact dès le premier message de l’origine de ses données et lui proposer un opt-out simple.

Quelle est la différence entre opt-in et opt-out en prospection B2B ? L’opt-in exige que le prospect consente explicitement avant tout contact — c’est la règle en B2C. L’opt-out, applicable en B2B, signifie que le contact peut s’opposer au traitement à tout moment, mais le premier contact peut être initié sans son accord préalable.

Les emails comme “thomas.dupont@startup.fr” sont-ils soumis au RGPD ? Oui. Un email nominatif permet d’identifier une personne physique et constitue donc une donnée personnelle au sens du RGPD. En revanche, un email générique comme “contact@startup.fr” ne désigne pas de personne identifiable et est hors champ du RGPD.

Quelles sanctions risque-t-on en cas de non-conformité ? Les amendes RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). La CNIL dispose également du pouvoir d’injonction, pouvant contraindre une entreprise à cesser un traitement.

Faut-il signer un DPA avec mon outil d’enrichissement ? Oui, dès lors que cet outil traite des données personnelles pour votre compte, il est un sous-traitant au sens du RGPD. Un accord de sous-traitance des données (DPA) est obligatoire. L’absence de DPA constitue une violation de l’article 28 du RGPD.