Vous venez de lancer une campagne de cold emailing ou un workflow d’enrichissement de leads. Et soudain, la question surgit : avez-vous le droit de contacter ces prospects ? Sur quelle base légale vous appuyez-vous ? Faut-il leur avoir demandé leur accord au préalable, ou pouvez-vous vous en passer ?
En B2B, le RGPD n’impose pas les mêmes règles qu’en B2C. Deux bases légales dominent la prospection commerciale : le consentement et l’intérêt légitime. Choisir la mauvaise peut exposer votre entreprise à des sanctions allant jusqu’à 4 % de votre chiffre d’affaires mondial — ou à une injonction de la CNIL d’arrêter vos campagnes.
Ce guide vous explique concrètement la différence entre ces deux bases légales, quand appliquer l’une ou l’autre, et comment rester conforme tout en maintenant une prospection B2B efficace.
Trouvez des emails B2B conformes dans Google Sheets
Derrick enrichit vos prospects avec des emails professionnels vérifiés directement depuis LinkedIn, sans export CSV.
TL;DR — Le tableau comparatif rapide
| Critère | Consentement (art. 6.1.a) | Intérêt légitime (art. 6.1.f) |
|---|---|---|
| Définition | Accord explicite et actif du prospect | Intérêt commercial légitime de l’entreprise |
| Requis en B2B email ? | Non (mais possible) | Oui, base par défaut |
| Requis en B2C email ? | Oui, obligatoire | Non applicable |
| Opt-in préalable ? | Oui, obligatoire | Non |
| Opt-out requis ? | Oui | Oui, en un clic |
| Preuve documentaire ? | Oui (registre consentements) | Oui (analyse de balancing test) |
| Lien avec l’activité du prospect requis ? | Non | Oui, obligatoire |
| Durée de conservation | 3 ans après dernier contact | 3 ans après dernier contact |
| Risque sanction | Élevé si preuve manquante | Élevé si conditions non respectées |
| Idéal pour | B2C, newsletters, retargeting | Prospection B2B outbound |
Qu’est-ce que le consentement RGPD ? Définition et cadre légal
Le consentement est défini à l’article 6.1.a du RGPD comme une manifestation de volonté libre, spécifique, éclairée et univoque. Concrètement, cela signifie que le prospect doit accomplir une action positive et délibérée pour autoriser le traitement de ses données.
Quelques exemples de ce qui ne vaut pas comme consentement valable :
- Une case pré-cochée dans un formulaire
- L’acceptation des conditions générales d’utilisation
- Le silence ou l’absence d’opposition
Pour être valide, le consentement doit être documenté (votre registre de traitement doit en conserver la preuve), granulaire (séparé pour chaque finalité), et réversible à tout moment. Si un prospect retire son consentement, vous devez cesser tout traitement dans les meilleurs délais.
Le consentement est la base légale par défaut en B2C pour la prospection électronique. En B2B, il reste une option possible, mais il n’est pas obligatoire dans la plupart des cas — c’est là qu’entre en jeu l’intérêt légitime.
Qu’est-ce que l’intérêt légitime ? L’article 6.1.f expliqué
L’intérêt légitime est défini à l’article 6.1.f du RGPD. Il permet à une entreprise de traiter des données personnelles sans consentement préalable, dès lors que trois conditions sont réunies :
1. Un intérêt réel et légitime — votre entreprise a un objectif commercial concret (trouver de nouveaux clients, développer un marché).
2. Un lien avec l’activité professionnelle du prospect — votre offre doit être pertinente pour la fonction ou le secteur de la personne contactée. C’est la condition la plus souvent ignorée, et la plus sanctionnée.
3. Un balancing test positif — vos intérêts commerciaux ne doivent pas l’emporter sur les droits fondamentaux du prospect. Cette analyse doit être documentée dans votre registre de traitements.
La CNIL confirme explicitement que la prospection B2B peut se fonder sur l’intérêt légitime — à condition de respecter un ensemble d’obligations précises que nous détaillons ci-après.
Un exemple concret de mauvaise application de l’intérêt légitime : en 2022, la société Nestor a écopé d’une amende de 20 000 € pour avoir envoyé des emails de prospection à des professionnels pour vendre des repas sur leur lieu de travail. La CNIL a estimé que la vente de repas n’avait pas de lien suffisant avec l’activité professionnelle des personnes contactées.
Comparaison détaillée : consentement vs intérêt légitime en B2B
Critère 1 : La charge de la preuve
Avec le consentement, la charge de la preuve repose entièrement sur vous. Vous devez conserver une trace datée, horodatée et vérifiable de chaque accord obtenu. En cas de contrôle CNIL, vous devez être en mesure de prouver que tel prospect a bien coché telle case à telle date.
Avec l’intérêt légitime, la charge de la preuve est différente mais tout aussi réelle. Vous devez documenter votre balancing test (analyse de proportionnalité), justifier le lien entre votre offre et l’activité du prospect, et pouvoir expliquer pourquoi vos intérêts commerciaux ne portent pas atteinte aux droits des personnes.
Verdict : L’intérêt légitime est moins contraignant à l’entrée (pas d’opt-in à collecter), mais exige une documentation rigoureuse. Le consentement est plus facile à auditer — mais plus difficile à obtenir en volume.
Critère 2 : La liberté de prospection
Le consentement vous offre une grande liberté sur les canaux et les finalités, une fois obtenu. Vous pouvez prospecter n’importe quel type de profil (B2B ou B2C), sur n’importe quel canal électronique, tant que l’accord est valide et documenté.
L’intérêt légitime impose une contrainte forte : votre message doit avoir un lien direct avec la fonction professionnelle du destinataire. Un SDR qui contacte un Directeur Marketing pour lui proposer un outil de sales automation est dans les clous. Le même SDR qui contacte une assistante RH pour lui vendre une solution de gestion de flotte automobile sort du périmètre de l’intérêt légitime.
Verdict : L’intérêt légitime est la base la plus utilisée en B2B outbound — mais elle exige une segmentation soignée de vos listes. Un enrichissement de données précis (fonction, secteur, taille d’entreprise) est indispensable pour cibler les bons profils.
Critère 3 : Les obligations d’information
Quelle que soit la base légale retenue, vous avez une obligation d’information totale envers les personnes prospectées. C’est l’article 14 du RGPD qui s’applique ici.
Dès le premier contact, votre message doit mentionner :
- L’identité de votre entreprise (raison sociale, coordonnées)
- La source des données (“Vos coordonnées proviennent de LinkedIn”)
- La finalité du traitement (prospection commerciale)
- La base légale retenue (intérêt légitime ou consentement)
- Les droits de la personne (opposition, accès, effacement)
- Un lien de désinscription fonctionnel en un clic
Cette obligation s’applique aussi bien pour une campagne de cold email que pour une prise de contact LinkedIn ou un appel téléphonique.
Verdict : Égalité. L’obligation de transparence est identique pour les deux bases légales. Aucune ne vous dispense d’informer clairement vos prospects.
Critère 4 : Les canaux de prospection
La base légale à utiliser dépend aussi du canal. Voici une synthèse pratique :
| Canal | B2B | B2C |
|---|---|---|
| Email professionnel nominatif | Intérêt légitime possible | Consentement obligatoire |
| Email générique (contact@) | Hors données personnelles — encadré par L.34-5 CPCE | Hors RGPD, mais règles CPCE s’appliquent |
| Téléphone professionnel | Intérêt légitime possible + vérification Bloctel si mobile personnel | Intérêt légitime + Bloctel |
| SMS | Consentement recommandé | Consentement obligatoire |
| Courrier postal | Intérêt légitime possible | Intérêt légitime possible |
| LinkedIn (message direct) | Intérêt légitime possible | N/A (profil pro) |
| Retargeting publicitaire | Consentement (cookies) | Consentement (cookies) |
Verdict : L’intérêt légitime couvre l’essentiel de la prospection B2B outbound (email, téléphone, LinkedIn, courrier). Le consentement devient incontournable pour le SMS et toute prospection B2C.
Critère 5 : La durée de conservation des données
Sur ce point, les deux bases légales convergent. La CNIL fixe une durée maximale de 3 ans à compter du dernier contact pour les données de prospects inactifs. Au-delà, les données doivent être supprimées ou anonymisées.
Une simple ouverture d’email ne constitue pas un contact valable pour relancer le compteur. En revanche, une réponse, un clic sur un lien, ou une demande d’information réinitialise la durée.
Concrètement, cela signifie que vos listes de prospects doivent être régulièrement nettoyées et mises à jour — une bonne raison de mettre en place un processus de vérification d’emails systématique pour identifier les contacts inactifs ou invalides.
Verdict : Égalité. Trois ans maximum, quelle que soit la base légale.
Tableau récapitulatif des verdicts
| Critère | Gagnant | Pourquoi |
|---|---|---|
| Facilité d’obtention | Intérêt légitime | Pas d’opt-in préalable à collecter |
| Liberté de ciblage | Consentement | Pas de contrainte de pertinence sectorielle |
| Volume de prospection | Intérêt légitime | Plus facile à scaler en outbound B2B |
| Sécurité juridique | Consentement | Preuve d’accord claire et auditable |
| Compatibilité cold email B2B | Intérêt légitime | Base légale reconnue par la CNIL pour pros |
| Compatibilité B2C | Consentement | Obligatoire pour toute prospection électronique |
Les 3 conditions à respecter absolument avec l’intérêt légitime
L’intérêt légitime n’est pas un blanc-seing pour prospecter sans contrainte. Voici les trois obligations concrètes à mettre en place avant de lancer vos campagnes.
Obligation 1 : Le balancing test documenté
Avant de démarrer tout traitement fondé sur l’intérêt légitime, vous devez conduire une analyse de proportionnalité et la consigner dans votre registre de traitements RGPD. Cette analyse répond à trois questions :
- Quel est votre intérêt commercial précis et légitime ?
- Votre offre est-elle en lien avec la fonction professionnelle des personnes ciblées ?
- Votre intérêt prévaut-il sur les droits et libertés des personnes, sans y porter atteinte de façon excessive ?
Si vous ne pouvez pas répondre clairement à ces trois questions, l’intérêt légitime n’est pas la bonne base légale pour ce traitement.
Obligation 2 : L’information dès le premier contact
Chaque premier message — email, appel ou message LinkedIn — doit mentionner explicitement :
- La source des données (“Votre profil LinkedIn”)
- La base légale (“Nous nous appuyons sur notre intérêt légitime”)
- La finalité commerciale
- Le droit d’opposition et la façon de l’exercer
Cela peut sembler contraignant, mais une phrase en bas d’email suffit dans la pratique : “Vos coordonnées proviennent de LinkedIn. Vous pouvez vous opposer à tout moment à la réception de nos communications en cliquant ici.”
Obligation 3 : L’opt-out en un clic, fonctionnel et permanent
Chaque message de prospection doit comporter un mécanisme de désinscription simple, gratuit et fonctionnel. La CNIL recommande explicitement le lien en un clic. Une fois qu’un prospect se désinscrit, il doit être retiré de toutes vos listes et ne plus être recontacté — quelle que soit la base de données utilisée.
Quand choisir l’intérêt légitime ? Quand choisir le consentement ?
Choisissez l’intérêt légitime si :
- Vous faites de la prospection B2B outbound (cold email, appels sortants, LinkedIn)
- Vous ciblez des professionnels avec une adresse email nominative pro (prenom.nom@entreprise.com)
- Votre offre est directement liée à la fonction ou au secteur du prospect
- Vous avez documenté votre balancing test dans votre registre RGPD
- Vous mettez en place un opt-out fonctionnel dans chaque communication
Choisissez le consentement si :
- Vous prospectez des particuliers (B2C) par email ou SMS
- Vous envoyez une newsletter commerciale ou des communications marketing récurrentes
- Vous faites du retargeting publicitaire (implique des cookies consentis)
- Vous opérez dans un pays où l’intérêt légitime B2B n’est pas reconnu (Allemagne, Italie — règles plus strictes qu’en France)
- Vous souhaitez une sécurité juridique maximale et pouvez collecter l’opt-in à l’échelle
Le cas particulier des emails génériques (contact@, info@)
Les adresses génériques d’entreprise ne sont pas des données personnelles au sens du RGPD, car elles ne permettent pas d’identifier une personne physique. La prospection vers ces adresses relève principalement du Code des Postes et Communications Électroniques (CPCE, article L.34-5), et non du RGPD. Mais attention : dès que l’adresse permet d’identifier une personne (prenom@entreprise.com), les règles RGPD s’appliquent pleinement.
Les erreurs les plus courantes (et leurs conséquences)
Problème 1 : Prospecter hors contexte professionnel
Symptôme : Vous envoyez un email de prospection à un Responsable RH pour lui vendre un outil de gestion de flotte de véhicules — sans lien avec ses fonctions.
Impact : La CNIL a condamné ce type de pratique (affaire Nestor, 20 000 € d’amende). L’intérêt légitime ne peut pas être invoqué si votre offre n’est pas pertinente pour l’activité professionnelle du prospect.
Solution : Enrichissez et segmentez vos listes avant tout envoi. Assurez-vous que chaque segment correspond à un profil pour lequel votre offre a une valeur business directe.
Problème 2 : Absence d’information dès le premier contact
Symptôme : Vos emails de prospection ne mentionnent pas la source des données ni la base légale.
Impact : Violation de l’article 14 du RGPD. La CNIL peut prononcer une injonction de mise en conformité ou une sanction financière. En 2024, 87 sanctions ont été prononcées pour un montant total de 55 millions d’euros, notamment pour absence d’information sur les droits des personnes.
Solution : Ajoutez systématiquement un bloc de conformité en bas de chaque email de prospection. Incluez la source des données, la base légale, et le lien d’opposition.
Problème 3 : Opt-out non fonctionnel ou difficile à exercer
Symptôme : Votre lien de désinscription renvoie vers un formulaire de plusieurs étapes, demande une justification, ou ne fonctionne pas techniquement.
Impact : Violation directe des obligations RGPD. Risque de plainte à la CNIL et de sanction. Risque également de dégradation de votre réputation d’expéditeur (impact sur la délivrabilité).
Solution : Implémentez un mécanisme de désinscription en un clic, sans friction et sans justification requise. Synchronisez automatiquement vos listes d’exclusion entre tous vos outils de prospection.
Problème 4 : Conservation des données au-delà de 3 ans
Symptôme : Votre CRM contient des prospects inactifs datant de 4 ou 5 ans, dont certains ont demandé la suppression de leurs données.
Impact : Non-conformité à la durée légale de conservation. Risque de sanction si un prospect dépose plainte à la CNIL pour non-respect de ses droits.
Solution : Mettez en place une politique de nettoyage automatique de vos bases. Supprimez ou anonymisez tout prospect n’ayant pas répondu depuis 3 ans. Un fichier client bien structuré avec des dates de dernier contact claires facilite grandement ce travail.
Problème 5 : Absence de balancing test documenté
Symptôme : Vous prospectez sur la base de l’intérêt légitime, mais votre registre de traitements RGPD ne contient aucune analyse de proportionnalité.
Impact : En cas de contrôle CNIL, vous ne pouvez pas justifier votre base légale. L’absence de documentation est en elle-même une violation.
Solution : Rédigez une fiche de balancing test pour chaque traitement fondé sur l’intérêt légitime. Consignez-la dans votre registre RGPD. Cette fiche doit répondre aux trois questions : intérêt, pertinence, proportionnalité.
Le cas particulier de la collecte de données via LinkedIn et les outils d’enrichissement
Lorsque vous utilisez des outils comme Derrick pour enrichir des profils LinkedIn ou trouver des emails professionnels, les données collectées restent des données personnelles au sens du RGPD dès lors qu’elles sont nominatives. L’outil en lui-même n’est pas une base légale — c’est à vous de définir la base légale du traitement que vous allez effectuer avec ces données.
En pratique, pour la prospection B2B :
- Collecte : Vous récupérez des emails professionnels nominatifs via Derrick (Lead Email Finder) ou le LinkedIn Profile Scraper.
- Base légale : Vous vous appuyez sur l’intérêt légitime (article 6.1.f RGPD), à condition que votre offre soit pertinente pour le profil ciblé.
- Obligation : Dès le premier email, vous informez la personne de la source de ses données et de ses droits.
- Opt-out : Vous proposez un mécanisme de désinscription simple dans chaque communication.
La génération de leads B2B via des outils d’enrichissement est parfaitement compatible avec le RGPD — mais elle impose de respecter scrupuleusement ce processus en quatre étapes.
Cold emailing et RGPD : ce que vous devez savoir
Les règles RGPD appliquées au cold emailing B2B, canal par canal.
À retenir
- L’intérêt légitime (art. 6.1.f RGPD) est la base légale de référence pour la prospection B2B outbound — pas besoin de consentement préalable.
- Le consentement est obligatoire en B2C (email, SMS) et recommandé pour les newsletters commerciales récurrentes.
- L’intérêt légitime impose trois conditions strictes : balancing test documenté, information dès le premier contact, opt-out en un clic.
- Votre offre doit être en lien direct avec l’activité professionnelle du prospect — c’est la condition la plus sanctionnée.
- La durée de conservation est identique pour les deux bases légales : 3 ans maximum après le dernier contact.
- En 2024, la CNIL a prononcé 87 sanctions pour 55 millions d’euros — la conformité n’est plus optionnelle.
Conclusion : quelle base légale pour votre prospection B2B en 2026 ?
Pour la grande majorité des équipes sales et growth qui font de la prospection B2B outbound, l’intérêt légitime est la base légale adaptée — à condition de la mettre en œuvre correctement. Elle offre la flexibilité nécessaire pour prospecter à volume sans avoir à collecter des opt-ins préalables, tout en restant dans un cadre légal reconnu par la CNIL.
Le consentement reste pertinent pour des cas spécifiques : prospection B2C, newsletters, retargeting, ou marchés européens où les règles sont plus strictes qu’en France.
Dans les deux cas, la clé est la même : documenter, informer, et respecter le droit d’opposition. Une prospection conforme n’est pas une prospection moins efficace — c’est une prospection durable.
Enrichissez vos listes B2B en conformité RGPD
Derrick trouve des emails professionnels vérifiés depuis LinkedIn, directement dans Google Sheets. Qualifiez vos prospects avant de les contacter.
FAQ
L’intérêt légitime me dispense-t-il de toute obligation RGPD en B2B ? Non. L’intérêt légitime remplace uniquement l’obligation de recueillir un consentement préalable. Toutes les autres obligations restent entières : information dès le premier contact, opt-out fonctionnel, durée de conservation limitée à 3 ans, et documentation d’un balancing test dans votre registre de traitements.
Puis-je utiliser l’intérêt légitime pour prospecter n’importe quel professionnel ? Non. Votre offre doit être en lien direct avec l’activité professionnelle du destinataire. Un prestataire RH peut contacter des DRH — pas des responsables techniques. La CNIL a sanctionné des entreprises dont les messages n’avaient pas de rapport avec la fonction des prospects ciblés.
Quelle est la différence entre opt-in et opt-out ? L’opt-in est une action positive du prospect pour donner son accord (case à cocher, formulaire de consentement) — obligatoire en B2C. L’opt-out est le droit du prospect de s’opposer au traitement après coup — obligatoire pour tout traitement fondé sur l’intérêt légitime en B2B. Un lien de désinscription en bas d’email constitue un mécanisme d’opt-out.
Combien de temps puis-je conserver les données de mes prospects B2B ? Trois ans maximum à compter du dernier contact actif (réponse, clic sur un lien, demande d’information). Une simple ouverture d’email ne suffit pas. Au-delà de 3 ans sans interaction, les données doivent être supprimées ou anonymisées.
L’intérêt légitime est-il reconnu dans toute l’Europe ? Non. En France, l’intérêt légitime est la base par défaut pour la prospection B2B — c’est l’un des cadres les plus souples d’Europe. En Allemagne et en Italie, les règles sont plus strictes et peuvent imposer un consentement explicite même en B2B. Si vous prospectez dans ces pays, adaptez votre base légale en conséquence.
Jonathan Maurin
Related Posts
