L'état du RGPD et de la prospection B2B en 2026 : rapport benchmark conformité

Dernière mise à jour : 2026-06-18

L'enforcement du RGPD n'est plus un risque futur à anticiper ; c'est un coût présent et mesurable. En janvier 2026, le cumul des amendes depuis l'entrée en vigueur du règlement en 2018 atteint 7,1 milliards d'euros, dont environ 1,2 milliard prononcé pour la seule année 2025. Pour toute équipe qui fait de la prospection B2B en Europe, la question est passée de savoir si les règles s'appliquent à savoir comment prospecter à l'échelle sans devenir une ligne du prochain rapport d'enforcement. Ce rapport met des chiffres sur l'état de l'enforcement et, plus utilement, recadre ce qui pilote vraiment le risque de conformité en prospection.

Le recadrage est le suivant : la conformité se gagne sur la provenance et la fraîcheur de la donnée, pas sur la seule paperasse. Un enregistrement de contact que vous pouvez sourcer, dater et re-vérifier est un dossier d'intérêt légitime défendable et une demande de droits traitable. Un enregistrement périmé et non sourcé est l'inverse : un passif que vous ne pouvez pas expliquer quand une autorité ou une personne concernée le demande. Garder la donnée fraîche et traçable n'est pas une finesse juridique ; c'est le cœur opérationnel de la conformité.

Le baromètre des sanctions

Les chiffres phares viennent du DLA Piper GDPR Fines and Data Breach Survey publié en janvier 2026. Le cumul des amendes depuis mai 2018 s'établit à 7,1 milliards d'euros, dont environ 1,2 milliard prononcé en 2025, proche de l'année précédente. L'Irlande domine le classement de l'enforcement, avec des amendes cumulées de son autorité de contrôle atteignant environ 4 milliards d'euros, et la France figure parmi les autorités les plus actives d'Europe. Les notifications de violation grimpent aussi : la même analyse rapporte des violations de données personnelles en Europe atteignant 443 par jour, en hausse de 22 pour cent sur un an.

Ce qui compte pour la prospection n'est pas le total mais la tendance. L'enforcement s'est accéléré, l'essentiel du cumul ayant été prononcé ces dernières années, et les notifications de violation augmentent. L'époque où le RGPD semblait un exercice de papier sans suite est clairement révolue. Pour les équipes revenue, l'exposition concrète se concentre sur la façon dont la donnée de contact est sourcée, stockée et tenue exacte, c'est-à-dire exactement là où vivent les opérations de prospection.

C'est pourquoi un benchmark de sanctions mérite d'être gardé sous les yeux d'une équipe dirigeante. Il transforme une obligation juridique abstraite en un risque chiffré qu'un CFO ou un board comprend, et il justifie d'investir dans la discipline de donnée qui réduit réellement l'exposition. La vue détaillée de ce que risque une entreprise est dans le guide des sanctions RGPD.

Il faut aussi lire correctement le classement par pays. Une juridiction qui domine le cumul reflète où sont domiciliées les grandes multinationales, pas où les règles sont les plus dures. La leçon pratique est que l'enforcement est paneuropéen et convergent : un programme de prospection qui échouerait à un audit dans un État membre passera difficilement dans un autre, donc l'hypothèse de planification prudente est l'interprétation raisonnable la plus stricte, appliquée partout où vous opérez.

L'impact sur la prospection B2B

L'enforcement a mesurablement changé la façon dont les équipes européennes prospectent. Depuis 2018, l'usage de données de contact B2B mal sourcées s'est resserré, et la charge pèse le plus sur les petites structures : les enquêtes auprès des PME européennes trouvent régulièrement qu'une majorité décrit la conformité comme difficile ou très difficile, avec peu de ressources juridiques pour interpréter des lignes directrices mouvantes. La conformité est devenue une vraie contrainte sur l'outbound, pas une case à cocher.

La réponse réflexe, prospecter moins ou arrêter, est à la fois inutile et mauvaise pour l'activité. La prospection B2B reste licite en Europe ; ce qui a changé, c'est qu'elle doit reposer sur une base légale documentée et une donnée exacte et sourcée. Les équipes qui galèrent ne sont en général pas celles qui prospectent, mais celles qui prospectent sur une donnée dont elles ne peuvent rendre compte : listes achetées d'origine inconnue, champs qu'elles ne peuvent dater, contacts qu'elles ne peuvent re-vérifier ni effacer sur demande.

La ligne de partage n'est donc pas prospection agressive contre prudente ; c'est donnée justifiable contre donnée injustifiable. Une équipe qui sait d'où vient chaque enregistrement, quand il a été confirmé pour la dernière fois, et comment le mettre à jour ou le supprimer peut prospecter sereinement. Une équipe qui tourne sur des listes opaques et périmées est exposée quel que soit le soin apporté à son copy. Les spécificités du cold outreach sont dans le guide du cold emailing RGPD.

La carte des bases légales

La majeure partie de la prospection B2B licite en Europe repose sur l'une de deux bases : le consentement, ou l'intérêt légitime au titre de l'Article 6(1)(f) du RGPD. En pratique, l'intérêt légitime est la base la plus courante pour l'outreach B2B, mais ce n'est pas un blanc-seing. Il exige un test de mise en balance : peser votre intérêt légitime à prospecter face aux droits et aux attentes raisonnables de la personne, documenter cette évaluation, et pouvoir la produire sur demande.

Un test de mise en balance défendable dépend de la discipline de donnée à laquelle ce rapport revient sans cesse. Vous devez pouvoir montrer que le contact est un décideur business pertinent, que la donnée a été sourcée correctement, qu'elle est exacte et actuelle, et que la personne peut facilement s'opposer ou être retirée. Chacun de ces points est autant une question de provenance et de fraîcheur de la donnée qu'une question juridique. Un dossier d'intérêt légitime bâti sur un enregistrement périmé et non sourcé en est la version la plus faible.

L'enseignement pratique est de traiter la base légale et la qualité de la donnée comme un seul système plutôt que deux chantiers séparés. La base légale ne vaut que par votre capacité à l'étayer avec une donnée sourcée et actuelle, ce qui explique pourquoi la documentation et la fraîcheur font davantage pour une posture de conformité qu'un énième PDF de politique. Le détail complet est dans le guide RGPD et enrichissement de données B2B.

Une façon utile de penser le test de mise en balance est de l'imaginer comme une histoire que vous devrez peut-être raconter à une autorité : voici qui est cette personne, voici pourquoi notre offre est pertinente pour son rôle professionnel, voici où nous avons obtenu la donnée et quand nous l'avons confirmée pour la dernière fois, et voici avec quelle facilité elle pourrait s'opposer. Si une phrase de cette histoire manque, la base est faible. Chacune de ces phrases est quelque chose qu'une donnée actuelle et sourcée vous permet d'affirmer avec confiance.

La montée des droits des personnes

L'autre moitié du risque est réactive : les demandes d'exercice de droits. Les personnes exercent leurs droits RGPD à un rythme en forte hausse, les demandes d'accès et d'effacement grimpant d'année en année, et le Comité européen de la protection des données a placé le droit à l'effacement au centre de son action coordonnée récente. Chaque demande porte une horloge et un coût : les estimations du secteur situent le traitement manuel d'une seule demande bien au-dessus du millier d'euros une fois comptés la recherche, la revue juridique et la réponse.

C'est là que la qualité de la donnée devient un mécanisme de conformité plutôt qu'une finesse marketing. Pour honorer une demande d'accès, de rectification ou d'effacement, vous devez pouvoir trouver chaque enregistrement sur cette personne, savoir d'où il vient, et le mettre à jour ou le supprimer de façon fiable. Une donnée périmée, dupliquée ou non sourcée rend cela lent, coûteux et source d'erreurs, et une réponse ratée est elle-même une violation. La capacité à traiter une demande proprement est une fonction directe de l'organisation et de l'actualité de votre donnée.

Cela relie les deux moitiés du risque. Le volet proactif, avoir une base légale défendable, et le volet réactif, répondre correctement aux demandes, reposent sur la même fondation : connaître la provenance de sa donnée et la tenir à jour. Une équipe forte en hygiène de donnée est forte sur les deux à la fois ; une équipe faible y est exposée sur les deux. Le volet demandes est détaillé dans le guide des droits des personnes concernées.

Le lien qualité de donnée et conformité

Tirez les fils ensemble et un principe tient sur tout le rapport : une mauvaise qualité de donnée amplifie le risque de conformité, et une bonne hygiène de donnée le réduit. Si vous ne pouvez pas prouver d'où vient un enregistrement, vous ne pouvez pas défendre une base d'intérêt légitime. Si vous ne pouvez pas trouver ou mettre à jour chaque copie d'un enregistrement, vous ne pouvez pas honorer une demande de rectification ou d'effacement. Et la donnée périmée aggrave le problème : la donnée de contact B2B se périme d'environ 2,1 pour cent par mois, donc une liste laissée sans maintenance s'éloigne régulièrement de l'exactitude que le règlement attend. L'estimation de Gartner d'un coût moyen de la mauvaise qualité de données de 12,9 millions d'euros par an sous-estime le tableau ici, car en prospection une mauvaise donnée n'est pas juste inefficace, c'est un passif réglementaire.

C'est là que Derrick s'inscrit, et il est important d'être précis sur le comment. Derrick ne vous rend pas conforme au RGPD ; la conformité est la responsabilité de votre organisation et dépend de vos process, de votre base légale et de votre gouvernance. Ce que fait Derrick, c'est renforcer la fondation de donnée sur laquelle reposent ces process : il trouve et vérifie emails et numéros de téléphone, et enrichit les données LinkedIn et entreprise, à la demande et en temps réel dans Google Sheets, pour que les enregistrements sur lesquels vous prospectez soient actuels, sourcés et re-vérifiables plutôt que vieillis et opaques. Une donnée fraîche et traçable rend un dossier d'intérêt légitime plus facile à défendre et une demande de droits plus facile à traiter, mais la responsabilité reste la vôtre.

Gardez votre donnée de prospection fraîche, sourcée et re-vérifiable avec Derrick, gratuit jusqu'à 100 crédits par mois, directement dans Google Sheets. Utilisez le scorecard ci-dessous pour évaluer votre posture, puis comblez les écarts qui vous exposent le plus.

Un dernier point opérationnel à intégrer : la minimisation des données joue en votre faveur. Détenir moins d'enregistrements, mais meilleurs et bien sourcés, est à la fois plus conforme et plus efficace que d'accumuler de grandes listes qui se périment, car chaque enregistrement supplémentaire dont vous ne pouvez rendre compte est un risque ajouté sans valeur ajoutée. Un jeu de données léger, actuel et traçable est la version de votre base la plus facile à défendre et la moins coûteuse à maintenir.

Scorecard de conformité, méthodologie et sources

Utilisez ce scorecard pour vous auto-évaluer. Pouvez-vous énoncer la source de chaque enregistrement prospect ? Savez-vous quand chaque champ a été vérifié pour la dernière fois ? Avez-vous documenté une base légale pour votre prospection, avec un test de mise en balance quand vous vous appuyez sur l'intérêt légitime ? Tenez-vous un registre des activités de traitement au titre de l'Article 30 ? Pouvez-vous trouver, mettre à jour et supprimer chaque copie de la donnée d'une personne pour répondre à une demande dans le délai ? Un non à l'une de ces questions est un écart à combler avant qu'il ne devienne un incident, et la plupart sont des questions d'hygiène de donnée plutôt que purement juridiques.

Ce rapport agrège des sources primaires citables : le DLA Piper GDPR Fines and Data Breach Survey (janvier 2026) pour les totaux d'amendes, le chiffre annuel, le classement par pays et les taux de notification de violation ; la CNIL et le Comité européen de la protection des données pour les priorités d'enforcement et l'action coordonnée sur l'effacement ; Gartner pour le coût de la mauvaise qualité de données ; et les données institutionnelles européennes sur l'adoption numérique des PME. Quand une statistique ne se traçait que via le marketing d'un fournisseur de données ou d'enrichment, nous ne l'avons pas utilisée ; nous ne citons que la source primaire. Rien ici n'est un conseil juridique. Voyez les benchmarks comme une invitation à évaluer votre propre posture, et consultez un conseil qualifié pour votre situation spécifique.