Vous enrichissez des bases de données B2B, vous trouvez des emails professionnels, vous scrapez LinkedIn — et vous n’avez toujours pas de registre des activités de traitement ? Vous n’êtes pas seul. La CNIL a prononcé 87 sanctions en 2025, soit une hausse de 107 % par rapport à 2024, et les équipes commerciales figurent parmi les principales cibles des contrôles.
Pourtant, tenir un registre de traitement n’est pas une formalité réservée aux juristes. C’est un document opérationnel qui vous permet de cartographier vos flux de données, de prouver votre conformité et de sécuriser vos pratiques d’enrichissement au quotidien. Ce guide vous explique comment le construire concrètement, traitement par traitement, pour vos activités de data enrichment B2B.
Enrichissez vos données B2B dans Google Sheets
Derrick trouve emails professionnels, téléphones et données LinkedIn directement dans votre feuille de calcul — sans export CSV, sans configuration complexe.
Qu’est-ce que le registre des activités de traitement (article 30 RGPD) ?
Le registre des activités de traitement est un document interne qui recense l’ensemble des opérations effectuées sur des données personnelles au sein de votre organisation. Il est prévu par l’article 30 du RGPD et constitue la pierre angulaire du principe d’accountability : vous devez être capable de démontrer votre conformité en cas de contrôle, sans attendre qu’un problème survienne.
Concrètement, pour chaque traitement de données, le registre documente : qui est responsable, pourquoi les données sont collectées, quelles données sont concernées, qui y a accès, combien de temps elles sont conservées et comment elles sont protégées.
Qui est concerné ? En théorie, toutes les organisations qui traitent des données personnelles. En pratique, la CNIL recommande à toutes les structures, quelle que soit leur taille, de tenir ce registre. L’exception prévue pour les entreprises de moins de 250 salariés ne s’applique quasiment jamais dès lors que vous avez des salariés, des clients ou des prospects — c’est-à-dire dès que vous faites de la prospection B2B.
L’absence de registre expose à une sanction pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (article 83 du RGPD). Mais au-delà du risque financier, c’est un outil de pilotage précieux : il vous aide à identifier les risques, à prioriser vos actions de mise en conformité et à répondre rapidement aux demandes de droits (accès, effacement, opposition).
Pourquoi le registre de traitement est indispensable pour vos activités d’enrichissement de données
L’enrichissement de données B2B est une activité intensément orientée sur les données personnelles. Un email professionnel de type prenom.nom@entreprise.com, un numéro de téléphone mobile, un profil LinkedIn — ce sont des données personnelles au sens du RGPD, même dans un contexte purement professionnel.
Chaque action d’enrichissement constitue un traitement distinct : trouver un email, vérifier sa validité, récupérer un numéro de téléphone, scraper un profil LinkedIn, normaliser des données dans votre CRM. Toutes ces opérations doivent figurer dans votre registre avec une fiche dédiée.
Les équipes commerciales commettent souvent la même erreur : elles considèrent l’enrichissement comme une étape technique invisible, sans implication juridique. Or, dès que vous utilisez un outil tiers pour enrichir vos données — qu’il s’agisse d’un email finder, d’un phone finder ou d’un LinkedIn scraper — cet outil devient un sous-traitant au sens du RGPD, et son nom doit apparaître dans votre registre.
Pour votre enrichissement de base de données, vous êtes le responsable de traitement. Vous définissez la finalité (trouver des prospects pour votre équipe commerciale), vous choisissez les outils, vous décidez de la durée de conservation. Vous portez donc la responsabilité juridique, même si l’enrichissement est réalisé par un prestataire externe.
Maintenant que vous comprenez pourquoi le registre est incontournable pour vos activités d’enrichissement, voyons comment identifier précisément les traitements à documenter.
Quels traitements d’enrichissement de données B2B inscrire dans le registre ?
Chaque activité d’enrichissement distincte doit faire l’objet d’une fiche séparée dans votre registre. Voici les traitements les plus courants pour une équipe commerciale B2B :
| Traitement | Données concernées | Base légale typique |
|---|---|---|
| Recherche d’emails professionnels | Nom, prénom, email, domaine | Intérêt légitime |
| Vérification d’emails | Adresse email | Intérêt légitime |
| Recherche de numéros de téléphone | Numéro mobile/fixe professionnel | Intérêt légitime |
| Scraping de profils LinkedIn | Poste, entreprise, parcours, coordonnées | Intérêt légitime |
| Scraping de pages entreprises LinkedIn | Données de la personne morale + contacts | Intérêt légitime |
| Import de listes Sales Navigator | Données de profils LinkedIn | Intérêt légitime |
| Normalisation et déduplication de données | Données de la base CRM existante | Intérêt légitime |
| Scoring et segmentation IA des leads | Données de profils enrichis | Intérêt légitime |
| Prospection par cold email | Email, nom, données de personnalisation | Intérêt légitime |
| Prospection téléphonique | Numéro de téléphone, nom | Intérêt légitime + vérification Bloctel |
Note importante : les données relatives à la personne morale uniquement (dénomination sociale, SIREN, adresse du siège) ne sont pas des données personnelles et n’entrent pas dans le champ du RGPD. En revanche, dès qu’une donnée permet d’identifier une personne physique au sein de l’entreprise, le RGPD s’applique.
Avec cette cartographie en tête, passons à la construction concrète de votre registre, traitement par traitement.
Comment remplir votre registre de traitement pour le data enrichment : guide étape par étape
Étape 1 : Listez chaque traitement d’enrichissement
Commencez par recenser toutes vos activités d’enrichissement de données. Posez-vous la question : “Sur quelles données personnelles agissons-nous, et dans quel but ?” Chaque finalité distincte = un traitement distinct dans le registre.
Thomas, Sales Ops chez une startup SaaS de 30 personnes, a réalisé cet inventaire en deux heures avec son équipe commerciale. Résultat : 7 traitements distincts identifiés, dont 3 qu’il n’avait pas anticipés (le scoring IA des leads, la synchronisation vers HubSpot, et l’export CSV partagé avec l’agence de cold emailing partenaire).
Résultat attendu : Une liste exhaustive de tous vos traitements de données, avec pour chacun une description en une phrase de l’activité.
Étape 2 : Définissez la finalité et la base légale pour chaque traitement
Pour chaque traitement d’enrichissement, vous devez indiquer :
La finalité : pourquoi collectez-vous ou enrichissez-vous ces données ? Soyez précis. “Prospection commerciale” est insuffisant. Préférez : “Enrichissement de leads qualifiés pour la campagne cold email Q1 2026 ciblant les directeurs marketing de startups SaaS françaises entre 10 et 100 salariés.”
La base légale : pour la prospection B2B, c’est presque toujours l’intérêt légitime (article 6.1.f du RGPD). Cette base légale vous dispense de recueillir le consentement préalable de vos prospects, à condition que :
- Le traitement soit proportionné à l’objectif poursuivi
- Les personnes concernées aient un lien avec votre offre (leur fonction est en rapport avec ce que vous vendez)
- Vous leur offriez un droit d’opposition simple et gratuit
Documentez également le test d’équilibre des intérêts : l’intérêt légitime de votre entreprise doit l’emporter sur les droits et libertés des personnes concernées. Pour la prospection B2B ciblée, cet équilibre est généralement favorable, mais il doit être explicitement motivé dans le registre.
Résultat attendu : Pour chaque traitement, une finalité précise et une base légale documentée avec sa justification.
Étape 3 : Listez les catégories de données personnelles traitées
Pour chaque traitement d’enrichissement, précisez les catégories de données concernées. Par exemple, pour une activité de recherche d’emails via un outil comme Derrick :
- Données d’identification : nom, prénom
- Données professionnelles : titre de poste, entreprise, département
- Données de contact : adresse email professionnelle
- Données LinkedIn : URL du profil, headline, résumé
Vérifiez que vous ne collectez pas de données sensibles (santé, opinions politiques, données raciales ou ethniques). Ces catégories font l’objet d’une protection renforcée et ne peuvent généralement pas s’appuyer sur l’intérêt légitime. Pour la prospection B2B standard, vous ne devriez pas en avoir.
Pensez également à appliquer le principe de minimisation : ne collectez que les données strictement nécessaires à votre finalité. Si vous n’utilisez pas les données de localisation de vos prospects dans votre séquence de prospection, ne les enrichissez pas.
Étape 4 : Identifiez vos sous-traitants et destinataires
C’est l’étape que les équipes commerciales oublient le plus souvent. Tout outil tiers qui traite des données personnelles pour votre compte est un sous-traitant RGPD. Il doit figurer dans votre registre.
Pour vos activités d’enrichissement B2B, vos sous-traitants typiques sont :
- L’outil d’enrichissement que vous utilisez pour trouver emails et téléphones (ex : Derrick)
- Votre outil de cold emailing (Lemlist, Instantly, Brevo, etc.)
- Votre CRM qui stocke et traite les données enrichies (HubSpot, Salesforce, Pipedrive)
- Votre outil d’automatisation si vous synchronisez les données via Zapier, Make ou n8n
- Votre agence partenaire si elle traite des données pour votre compte
Pour chaque sous-traitant, vérifiez qu’un Data Processing Agreement (DPA) est en place. C’est un contrat qui formalise leurs obligations RGPD en tant que sous-traitant. La plupart des outils SaaS sérieux proposent ce document dans leurs conditions générales ou sur demande.
Identifiez également les destinataires internes : quels services de votre organisation ont accès aux données enrichies ? Équipe commerciale uniquement ? Marketing aussi ? Direction ?
Étape 5 : Fixez la durée de conservation des données
La CNIL recommande une durée de conservation maximale de 3 ans à compter du dernier contact ou de la dernière interaction pour les données de prospects inactifs. Au-delà, vous devez soit supprimer les données, soit obtenir un nouvel opt-in.
Pour les prospects qui deviennent clients, la durée se prolonge généralement à 5 ans après la fin de la relation commerciale (durée de prescription légale).
Définissez et documentez une politique claire :
| Statut du contact | Durée de conservation | Action à l’expiration |
|---|---|---|
| Prospect sans réponse | 3 ans après le dernier contact | Suppression automatique |
| Prospect en cours de traitement | Durée du cycle de vente + 3 ans | Revue manuelle |
| Client actif | Durée de la relation + 5 ans | Archivage puis suppression |
| Contact ayant exercé son droit d’opposition | Immédiatement | Blacklist + suppression |
Mettez en place un processus de purge régulière de vos données. Un outil comme la vérification d’emails permet également d’identifier les contacts invalides à nettoyer en priorité.
Étape 6 : Documentez les mesures de sécurité techniques et organisationnelles
Pour chaque traitement, décrivez les mesures mises en place pour protéger les données. Vous n’avez pas besoin d’un niveau de détail exhaustif dans le registre lui-même, mais les grandes catégories doivent y figurer :
- Contrôle des accès : qui peut accéder aux données enrichies dans votre Google Sheets ou votre CRM ?
- Chiffrement : les données sont-elles stockées de façon sécurisée ?
- Sauvegardes : quelle est la politique de backup ?
- Formation : les équipes commerciales sont-elles sensibilisées au RGPD ?
- Gestion des incidents : avez-vous une procédure en cas de fuite de données ?
Ces mesures peuvent être décrites en quelques lignes par traitement. L’objectif est de montrer que vous avez réfléchi à la sécurité, pas de rédiger une politique RSSI complète.
Exemple de registre de traitement pour une équipe commerciale B2B
Voici un exemple de fiche de registre pour un traitement d’enrichissement par email finder :
| Champ | Contenu |
|---|---|
| Nom du traitement | Enrichissement d’emails professionnels pour la prospection commerciale |
| Responsable du traitement | [Nom de votre entreprise] — Contact : [DPO ou responsable désigné] |
| Finalité | Trouver les adresses emails professionnelles des décideurs ciblés afin de mener des campagnes de prospection cold email B2B |
| Base légale | Intérêt légitime (art. 6.1.f RGPD) — Test d’équilibre réalisé le 2026 |
| Catégories de données | Nom, prénom, titre de poste, adresse email professionnelle, domaine de l’entreprise |
| Personnes concernées | Décideurs B2B (directeurs, responsables, fondateurs) dans des entreprises cibles |
| Sous-traitants | Derrick App (enrichissement) — DPA disponible ; HubSpot (CRM) — DPA disponible ; Lemlist (séquences email) — DPA disponible |
| Destinataires internes | Équipe commerciale (SDR + Account Executives) |
| Durée de conservation | 3 ans à compter du dernier contact pour les prospects inactifs |
| Transferts hors UE | HubSpot (USA) — Clauses contractuelles types UE en place |
| Mesures de sécurité | Accès restreint par rôle dans HubSpot ; authentification à deux facteurs obligatoire ; purge trimestrielle des prospects inactifs |
| Droit d’opposition | Lien de désinscription dans chaque email + traitement des demandes sous 48h |
Répliquez ce modèle pour chacun de vos traitements d’enrichissement. Une stratégie de lead generation B2B bien documentée dans votre registre vous protège et renforce votre crédibilité auprès de vos prospects les plus exigeants.
Les erreurs courantes dans le registre de traitement pour le data enrichment (et comment les corriger)
Problème 1 : Un seul traitement “prospection commerciale” pour tout
Symptôme : Votre registre contient une seule fiche générique qui regroupe email finder, phone finder, LinkedIn scraping et cold emailing.
Impact : En cas de contrôle CNIL, vous ne pouvez pas démontrer que chaque activité a été analysée séparément. Les finalités, bases légales et durées de conservation peuvent différer d’un traitement à l’autre.
Solution : Créez une fiche distincte pour chaque traitement. Une bonne règle : si l’activité utilise des données différentes, un outil différent ou poursuit une finalité différente, c’est un traitement à part.
Problème 2 : Les sous-traitants ne sont pas listés
Symptôme : Votre registre mentionne vos finalités et vos données, mais aucun outil tiers n’y figure.
Impact : Vous êtes responsable des traitements effectués par vos sous-traitants. Sans DPA en place et sans documentation, vous ne pouvez pas prouver que vos prestataires respectent le RGPD.
Solution : Listez systématiquement tous les outils SaaS qui traitent des données personnelles pour votre compte. Demandez à chacun un DPA signé et archivez-le. Pour votre phone finder ou votre email finder, vérifiez les conditions contractuelles de l’outil.
Problème 3 : La durée de conservation n’est pas définie
Symptôme : Votre registre indique “durée raisonnable” ou ne précise rien.
Impact : La CNIL considère l’absence de durée de conservation définie comme un manquement au principe de limitation de la conservation. C’est un des points les plus contrôlés.
Solution : Fixez des durées précises par catégorie de contact (prospect, client, partenaire) et mettez en place un processus de purge automatique ou planifiée. 3 ans pour les prospects sans interaction est la recommandation CNIL standard.
Problème 4 : Le registre n’est jamais mis à jour
Symptôme : Votre registre date de 2023 et ne reflète plus votre stack tech actuel.
Impact : Un registre qui ne correspond pas à la réalité de vos traitements est considéré comme inexistant par la CNIL.
Solution : Désignez un responsable de la mise à jour du registre (DPO interne, responsable sales ops ou juriste). Prévoyez une revue trimestrielle et une mise à jour systématique à chaque ajout d’un nouvel outil ou d’une nouvelle pratique d’enrichissement.
Problème 5 : L’intérêt légitime n’est pas motivé
Symptôme : Votre registre mentionne “base légale : intérêt légitime” sans autre justification.
Impact : L’intérêt légitime n’est pas une base légale “fourre-tout”. Vous devez démontrer que vos intérêts commerciaux l’emportent sur les droits des personnes. Sans test d’équilibre documenté, cette base légale peut être contestée.
Solution : Rédigez un court paragraphe de justification pour chaque traitement : pourquoi cet enrichissement est-il nécessaire à votre activité commerciale ? Pourquoi les personnes concernées peuvent-elles raisonnablement s’attendre à être contactées dans ce contexte ?
Pour votre stratégie de cold emailing conforme au RGPD, cette documentation est particulièrement critique.
À retenir
- Chaque activité d’enrichissement = un traitement distinct dans le registre : email finder, phone finder, LinkedIn scraping, normalisation et cold emailing sont des fiches séparées.
- L’intérêt légitime est la base légale standard pour la prospection B2B, mais il doit être motivé par un test d’équilibre documenté.
- Tous vos outils SaaS d’enrichissement sont des sous-traitants RGPD : ils doivent figurer dans le registre avec un DPA signé.
- 3 ans maximum pour les prospects inactifs, à compter du dernier contact : au-delà, supprimez ou rafraîchissez le consentement.
- La mise à jour régulière du registre est obligatoire : désignez un responsable et prévoyez une revue trimestrielle.
Conclusion : votre registre de traitement, un actif commercial autant qu’une obligation juridique
Un registre des activités de traitement bien tenu n’est pas qu’un bouclier contre les sanctions CNIL. C’est un signal de sérieux envoyé à vos prospects grands comptes, à vos clients sensibles aux questions de conformité, et à vos équipes commerciales qui ont besoin de travailler avec des données de qualité.
En documentant précisément vos traitements d’enrichissement, vous êtes également obligé de les rationaliser : vous questionnez la pertinence de chaque donnée collectée, la durée de conservation, les accès. Ce travail de structuration améliore in fine la qualité de vos données et l’efficacité de votre prospection.
Commencez par créer une fiche par activité d’enrichissement. Listez vos outils, fixez vos durées de conservation, signez vos DPA. Puis mettez à jour le registre à chaque évolution de votre stack commercial.
Comment enrichir votre base de données B2B
Découvrez les meilleures pratiques pour enrichir vos données prospects dans Google Sheets.
Enrichissez vos données B2B dans Google Sheets
Derrick trouve emails professionnels et numéros de téléphone directement dans votre feuille de calcul. Gratuit, sans carte bancaire.
FAQ
Le registre de traitement est-il obligatoire pour les petites équipes commerciales ? Oui, dans la pratique. L’exception prévue pour les entreprises de moins de 250 salariés ne s’applique pas dès lors que vos traitements sont réguliers — ce qui est le cas de toute prospection B2B active. La CNIL recommande à toutes les structures de tenir ce registre.
Quel format utiliser pour mon registre de traitement ? Le RGPD n’impose aucun format particulier, seulement la forme écrite. Un tableur Google Sheets ou Excel suffit pour les petites structures. La CNIL propose un modèle ODS gratuit sur son site. Pour les équipes plus importantes, des outils dédiés à la gestion de la conformité existent.
Puis-je utiliser un outil d’enrichissement B2B sans violer le RGPD ? Oui, à condition de documenter son usage dans votre registre de traitement, de signer un DPA avec le prestataire, d’utiliser les données dans le cadre de votre finalité déclarée et de permettre aux personnes concernées d’exercer leur droit d’opposition.
Combien de temps conserver les données de prospects enrichis ? La CNIL recommande un maximum de 3 ans à compter du dernier contact ou de la dernière interaction pour les prospects inactifs. Au-delà, les données doivent être supprimées ou faire l’objet d’un nouveau contact pour vérifier l’intérêt de la personne.
Que se passe-t-il si la CNIL me contrôle et que mon registre est incomplet ? L’absence ou l’incomplétude du registre peut entraîner une mise en demeure, une injonction de mise en conformité ou une amende pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. En 2025, la CNIL a durci ses contrôles sur les pratiques de prospection B2B.
Jonathan Maurin
Related Posts
