Droits des personnes RGPD : accès, rectification, suppression — guide pratique pour les équipes B2B

Votre prospect vous envoie un email : “Je souhaite savoir quelles données vous avez sur moi et vous demande de les supprimer.” Vous avez un mois pour répondre. Si vous n’avez pas de procédure en place, c’est la panique.

Le RGPD confère aux individus un ensemble de droits opposables à toute organisation qui traite leurs données personnelles — y compris votre équipe commerciale. En B2B, on pense souvent que ces règles ne concernent que le B2C. C’est faux. Dès qu’une adresse email contient un nom (thomas.martin@entreprise.fr), c’est une donnée personnelle, et les droits s’appliquent.

Ce guide vous explique quels sont ces droits, comment ils s’appliquent concrètement à votre prospection B2B, et comment traiter chaque demande sans compromettre votre activité commerciale.

Enrichissez vos données B2B en restant conforme

Derrick trouve emails et téléphones de vos prospects directement dans Google Sheets, sans import manuel ni base de données douteuse.

Essayer gratuitement →

Les 6 droits RGPD que vos prospects peuvent exercer

Le RGPD (Règlement Général sur la Protection des Données) définit six droits fondamentaux que toute personne peut exercer auprès de l’organisation qui traite ses données. En tant qu’équipe commerciale ou marketing B2B, vous êtes concernés à chaque fois que vous collectez, enrichissez ou utilisez des données de contact.

En pratique, les droits les plus fréquemment exercés en contexte de prospection B2B sont les trois premiers : accès, rectification et suppression — auxquels s’ajoute le droit d’opposition, particulièrement critique.

Droit d’accès : que devez-vous communiquer exactement ?

Le droit d’accès (article 15 du RGPD) permet à toute personne de demander quelles données vous détenez sur elle, pourquoi vous les traitez, et à qui vous les avez communiquées.

Concrètement, si Thomas, directeur commercial dans une PME tech, vous contacte pour exercer son droit d’accès, vous devez lui fournir :

• La liste exhaustive des données que vous avez collectées sur lui (email, téléphone, poste, entreprise, interactions passées…)
• La finalité du traitement : à quoi servent ces données dans votre organisation (prospection, suivi client, segmentation…)
• La base légale invoquée, souvent l’intérêt légitime en B2B
• La durée de conservation prévue
• L’identité des éventuels sous-traitants qui ont accès à ces données (outil CRM, plateforme d’emailing, outil d’enrichissement…)
• L’existence ou non d’un transfert de données hors UE

Vous disposez d’un mois pour répondre à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe, à condition d’informer la personne de ce délai dans le premier mois.

Conseil pratique : créez un modèle de réponse standardisé pour les demandes d’accès. Incluez-y les informations issues de votre registre des traitements et préparez un export rapide depuis votre CRM et vos outils de prospection.

Droit de rectification : corriger les données inexactes

Le droit de rectification (article 16 du RGPD) est, en pratique, souvent le moins contraignant. Un prospect qui vous signale que son poste a changé, que son email est incorrect, ou que son entreprise a évolué — c’est une demande de rectification.

Dans la plupart des cas, vous avez tout intérêt à corriger ces données de toute façon : des données erronées signifient des emails qui rebondissent, des appels qui n’aboutissent pas, et un taux de délivrabilité en chute libre.

Sophie, Sales Ops dans une scale-up SaaS, traite en moyenne 3 à 4 demandes de rectification par mois. Sa procédure : mise à jour immédiate dans le CRM, vérification dans les outils d’enrichissement connectés, confirmation écrite au demandeur sous 48h. Résultat : conformité assurée et base de données plus propre.

Pour les données enrichies via des outils tiers, assurez-vous que la rectification se propage bien à l’ensemble de vos systèmes : CRM, Google Sheets de prospection, outil d’emailing, etc. Une mise à jour partielle peut être considérée comme un manquement à vos obligations.

Droit à l’effacement (ou droit à l’oubli) : la procédure à suivre

Le droit à l’effacement (article 17 du RGPD) est souvent appelé “droit à l’oubli”. Un prospect peut demander la suppression de ses données dans plusieurs situations : il s’oppose à la prospection, ses données ne sont plus nécessaires à la finalité initiale, ou il retire son consentement.

Attention : effacer ne signifie pas tout supprimer. C’est là que beaucoup d’équipes font une erreur.

Si vous supprimez intégralement l’adresse email d’un prospect qui a demandé à ne plus être contacté, rien ne vous empêchera de le réenrichir et de le recontacter par accident six mois plus tard. La bonne pratique consiste à :

1. Supprimer les données actives (fiche CRM, listes d’emailing, Google Sheets de prospection)
2. Conserver une liste de désinscription (aussi appelée “liste noire” ou “suppression list”) avec uniquement l’identifiant minimal nécessaire — typiquement l’adresse email — pour éviter toute réinscription accidentelle
3. Documenter la demande : date de réception, date de traitement, action effectuée

Cette liste de désinscription n’est pas contraire au RGPD — elle est au contraire indispensable pour démontrer votre conformité. La CNIL le précise explicitement.

Marc, Growth Manager dans une agence lead gen B2B, gère une liste de suppression dans un onglet dédié de Google Sheets. Avant chaque import de nouvelle liste ou chaque campagne, il vérifie automatiquement les adresses contre cette liste. Temps de traitement : 5 minutes. Risque de plainte CNIL : quasi nul.

Droit d’opposition : le plus critique en prospection

Le droit d’opposition (article 21 du RGPD) est le droit le plus fréquemment exercé dans le cadre de la prospection commerciale, et le plus contraignant : il est absolu et immédiat dès lors que la personne s’y oppose à des fins de démarchage.

Contrairement aux autres droits, vous ne pouvez pas invoquer d’intérêt légitime pour continuer à contacter quelqu’un qui s’est opposé à la prospection. Dès réception de la demande, vous devez :

• Cesser immédiatement toute sollicitation (email, téléphone, LinkedIn…)
• Mettre à jour votre liste de désinscription
• Confirmer le traitement de la demande à la personne

En pratique, le lien de désinscription en bas de chaque email de prospection est le mécanisme principal d’exercice du droit d’opposition. Mais un prospect peut aussi exercer ce droit par email direct, par téléphone, ou via LinkedIn. Toutes ces formes sont valables.

Sanction possible : contacter un prospect après qu’il ait exercé son droit d’opposition expose l’entreprise à une plainte CNIL et à des sanctions pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Comment gérer les demandes de droits en pratique : procédure en 4 étapes

Maintenant que vous connaissez les droits et leurs implications, voyons comment mettre en place une procédure opérationnelle pour les traiter sans perturber votre activité.

Étape 1 : Créer un point de contact dédié

Désignez une adresse email claire pour recevoir les demandes (ex : privacy@votre-entreprise.fr) et mentionnez-la dans votre politique de confidentialité, vos mentions légales, et si possible dans vos emails de prospection. Cette adresse doit être surveillée régulièrement.

Résultat attendu : Aucune demande ne tombe dans l’oubli. Chaque email reçu déclenche une procédure documentée.

Étape 2 : Vérifier l’identité du demandeur

Avant de communiquer des données, vérifiez que la personne est bien celle qu’elle prétend être. Pas besoin d’exiger une pièce d’identité dans la majorité des cas — un échange par email depuis l’adresse concernée suffit généralement. Si vous avez un doute (demande depuis un email générique, incohérence), vous pouvez demander un justificatif complémentaire.

Résultat attendu : Vous évitez de communiquer des données à une tierce personne non autorisée.

Étape 3 : Traiter la demande dans le délai réglementaire

Dès réception de la demande validée, lancez le traitement :

• Accès : exportez les données depuis tous vos systèmes (CRM, Google Sheets, outil d’emailing, outil d’enrichissement)
• Rectification : mettez à jour dans tous les systèmes concernés
• Effacement : supprimez les données actives et ajoutez à la liste de désinscription
• Opposition : arrêtez immédiatement toute sollicitation et mettez à jour la liste de désinscription

Vous avez un mois à compter de la réception de la demande complète.

Résultat attendu : Demande traitée dans les délais, risque de plainte CNIL minimisé.

Étape 4 : Documenter chaque demande

Conservez une trace de chaque demande reçue et de son traitement : date de réception, type de droit exercé, action effectuée, date de réponse. Un simple tableur suffit pour les petites équipes. Cette documentation est votre preuve de conformité en cas de contrôle.

Résultat attendu : Vous pouvez démontrer votre conformité à tout moment, sans stress.

Durée de conservation des données prospects : les règles à connaître

La durée de conservation est étroitement liée aux droits des personnes. Conserver des données plus longtemps que nécessaire constitue en soi une violation du RGPD, même si vous n’avez reçu aucune demande d’effacement.

Pour la prospection B2B, la règle généralement retenue est la suivante :

• Prospects actifs (en cours de sollicitation) : données conservables pendant la durée du cycle de vente
• Prospects inactifs (aucune interaction depuis X mois) : 3 ans maximum après le dernier contact
• Clients : durée contractuelle + obligations comptables (généralement 10 ans pour les factures)

Au-delà de ces délais, les données doivent être supprimées ou anonymisées. Un nettoyage régulier de vos listes — idéalement automatisé — est une bonne pratique qui sert à la fois la conformité et la qualité de vos données.

Le cas particulier des données enrichies via des outils tiers

Si vous utilisez des outils d’enrichissement B2B pour compléter vos fiches prospects (email, téléphone, poste LinkedIn…), vous restez responsable du traitement de ces données, même si vous ne les avez pas collectées directement.

Cela signifie concrètement que :

• Vous devez être en mesure de répondre à toute demande d’accès concernant des données enrichies
• En cas de demande d’effacement, vous devez supprimer ces données de vos systèmes
• L’outil d’enrichissement est un sous-traitant au sens du RGPD et doit offrir des garanties de conformité (DPA signé, données sourcées de manière conforme)

La bonne pratique consiste à vérifier, avant d’adopter un outil d’enrichissement, qu’il propose un Data Processing Agreement (DPA) et qu’il vous explique clairement l’origine des données qu’il vous fournit.

Pour les équipes qui travaillent avec des données LinkedIn enrichies — profils, emails professionnels, numéros de téléphone — la question de la conformité RGPD se pose à chaque enrichissement. L’enrichissement de base de données B2B doit s’appuyer sur des sources transparentes et des finalités clairement définies.

Les 5 erreurs les plus fréquentes (et comment les corriger)

Erreur 1 : Ne pas répondre dans les délais

Symptôme : Une demande d’accès ou d’effacement reçue par email reste sans réponse pendant plus d’un mois. Impact : La personne peut directement saisir la CNIL, qui peut déclencher un contrôle ou infliger une sanction. Solution : Créez une alerte dans votre boîte email dédiée privacy@. Tout email reçu doit générer un ticket dans votre outil de gestion interne avec une échéance à J+25 (pour avoir une marge avant le délai réglementaire d’un mois).

Erreur 2 : Supprimer les données sans conserver la liste de désinscription

Symptôme : Un prospect supprimé est réenriché et réintégré dans une campagne 3 mois plus tard. Impact : Le prospect reçoit à nouveau des sollicitations alors qu’il avait exercé son droit d’opposition — c’est une violation caractérisée. Solution : Maintenez une liste de désinscription permanente. Intégrez une vérification automatique de cette liste avant chaque import ou campagne.

Erreur 3 : Ne traiter la demande que dans un seul système

Symptôme : L’effacement est fait dans le CRM mais pas dans l’outil d’emailing ni dans les Google Sheets de prospection. Impact : Les données persistent dans d’autres systèmes, la demande n’est que partiellement satisfaite. Solution : Cartographiez tous les systèmes où les données prospects sont stockées. Créez une checklist de suppression multi-systèmes.

Erreur 4 : Ne pas documenter les demandes traitées

Symptôme : En cas de contrôle CNIL, vous ne pouvez pas prouver que vous avez bien traité la demande de suppression reçue il y a 8 mois. Impact : Absence de preuve de conformité, aggravation potentielle de la sanction. Solution : Tenez un registre des demandes reçues (date, type, identité, action, date de réponse). Un simple Google Sheets suffit.

Erreur 5 : Ignorer les demandes exercées hors email

Symptôme : Un prospect appelle pour demander la suppression de ses données, la demande n’est pas prise en charge car “ça ne passe pas par le bon canal”. Impact : La demande n’est pas traitée, le prospect saisit la CNIL. Solution : Formez votre équipe commerciale à reconnaître et remonter toute demande de droits, quel que soit le canal (téléphone, LinkedIn, rencontre physique). La forme de la demande importe peu : l’obligation de traitement, oui.

À retenir

• Le RGPD accorde 6 droits aux personnes dont vous traitez les données : accès, rectification, effacement, opposition, limitation et portabilité.
• Le droit d’opposition à la prospection est absolu — vous ne pouvez pas le refuser.
• Vous disposez d’un mois pour répondre à toute demande ; deux mois en cas de complexité avérée.
• Effacer des données ne signifie pas supprimer toute trace : conservez une liste de désinscription pour éviter la réinscription accidentelle.
• Vous êtes responsable des données enrichies via des outils tiers : vérifiez que vos sous-traitants sont conformes.
• Documentez systématiquement chaque demande reçue et traitée.

Conclusion : la conformité comme avantage concurrentiel

La gestion des droits des personnes n’est pas un frein à la prospection B2B — c’est un signal de confiance. Les équipes qui traitent les demandes rapidement, avec transparence, construisent une réputation de sérieux qui compte sur le long terme.

En pratique, mettre en place une procédure solide ne prend pas plus d’une demi-journée. Un email dédié, un registre, une liste de désinscription, et une checklist de traitement multi-systèmes : l’essentiel est là.

Pour des données prospects toujours à jour, vérifiées et enrichies dans un cadre conforme, découvrez comment Derrick App permet d’enrichir vos leads directement dans Google Sheets — sans bases de données opaques, sans export CSV manuel.

Des données propres et conformes, directement dans vos Sheets

Derrick enrichit vos prospects en temps réel depuis LinkedIn. Emails vérifiés, données sourcées de manière transparente.

Essayer gratuitement →

FAQ

Qu’est-ce que le droit d’accès RGPD ? Le droit d’accès permet à toute personne de demander à une organisation quelles données personnelles elle détient sur elle, pourquoi elle les traite et à qui elle les a communiquées. L’organisation a un mois pour répondre et doit fournir une copie des données concernées.

Un prospect B2B peut-il demander la suppression de ses données ? Oui. Toute personne physique dont les données sont traitées peut exercer son droit à l’effacement, y compris un professionnel contacté dans le cadre d’une prospection B2B. Vous devez supprimer ses données de tous vos systèmes et conserver son adresse dans une liste de désinscription pour éviter toute réinscription accidentelle.

Combien de temps peut-on conserver les données d’un prospect inactif ? La règle communément admise est de 3 ans après le dernier contact avec un prospect inactif. Au-delà, les données doivent être supprimées ou anonymisées. Cette durée s’applique que la personne ait ou non exercé son droit d’effacement.

Que faire si un prospect exerce son droit d’opposition par téléphone ? La forme de la demande est indifférente : un appel téléphonique est valide. Vous devez noter la demande, cesser immédiatement toute sollicitation et ajouter la personne à votre liste de désinscription. Formez votre équipe commerciale à reconnaître et remonter ces demandes.

Suis-je responsable des données enrichies par un outil tiers ? Oui. En tant que responsable du traitement, vous êtes responsable de toutes les données personnelles que vous détenez, quelle que soit leur source. L’outil d’enrichissement est un sous-traitant : vérifiez qu’il propose un DPA (Data Processing Agreement) et que les données qu’il vous fournit sont sourcées de manière conforme au RGPD.