Blog
Découvrez Derrick App
Blog
Découvrez Derrick App

Vous avez une liste de prospects LinkedIn, un outil d’enrichissement, et une séquence d’emails prête à partir. Mais une question vous freine : est-ce que tout ça est vraiment RGPD compliant ?

C’est la question que se posent la majorité des SDR, Growth Marketers et Sales Ops en 2026. Et pour cause : le flou juridique autour du RGPD génère plus de peur que de risques réels — si l’on connaît les règles du jeu.

La bonne nouvelle : la prospection B2B reste tout à fait légale sous le RGPD, à condition de respecter un cadre précis. Ce guide vous explique exactement ce que vous pouvez faire, ce qui est interdit, et comment mettre en place une prospection conforme sans perdre en efficacité.

TL;DR
En B2B, le RGPD n'impose pas d'opt-in : vous pouvez prospecter par email sans consentement préalable, sous réserve de 3 conditions : message pertinent pour l'activité du prospect, transparence sur la source des données, et opt-out facile. Les données nominatives comme j.dupont@entreprise.com sont des données personnelles. Durée de conservation max : 3 ans sans interaction.

Enrichissez vos données B2B en conformité RGPD

Trouvez emails professionnels et numéros de téléphone de vos prospects directement dans Google Sheets, sans export manuel ni bases douteuses.

Essayer gratuitement →

Derrick Demo

Qu’est-ce que le RGPD et pourquoi concerne-t-il votre prospection B2B

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018. Il encadre la collecte, le traitement et le stockage de toutes les données personnelles des résidents européens — y compris dans un contexte professionnel.

Pour les équipes commerciales, la question n’est pas “est-ce que le RGPD s’applique à ma prospection ?” mais plutôt “comment prospecter efficacement dans le cadre qu’il définit ?”

Car oui, le RGPD s’applique dès que vous traitez des données permettant d’identifier une personne physique : nom, prénom, adresse email nominative, numéro de téléphone direct. Même si cette personne est un professionnel que vous contactez dans un cadre strictement B2B, le règlement s’applique dès lors que vous traitez ses données personnelles.

La distinction à retenir dès le départ : le RGPD ne tue pas la prospection B2B. Il en définit les règles d’hygiène.

RGPD B2B vs B2C : des règles fondamentalement différentes

C’est le point qui crée le plus de confusion — et souvent le plus de peur injustifiée. Le RGPD ne traite pas de la même façon la prospection vers des particuliers (B2C) et la prospection vers des professionnels (B2B).

En B2C : l’opt-in est obligatoire

Si vous ciblez des consommateurs individuels, vous ne pouvez pas les contacter par email sans leur consentement préalable explicite (opt-in). Ils doivent avoir activement coché une case, rempli un formulaire, ou accepté de recevoir vos communications. C’est le principe du permission marketing appliqué à sa forme la plus stricte.

En B2B : l’opt-out suffit, sous conditions

La prospection B2B fonctionne sur le principe de l’opt-out. Concrètement : vous pouvez contacter un professionnel sans son consentement préalable, à condition de lui offrir la possibilité de refuser facilement vos communications.

Trois conditions cumulatives s’appliquent néanmoins :

  1. Pertinence : votre offre doit présenter un intérêt raisonnable pour l’activité professionnelle du prospect
  2. Transparence : vous devez indiquer comment vous avez obtenu ses coordonnées
  3. Opt-out facilité : un lien de désinscription visible et fonctionnel doit figurer dans chaque communication

C’est la base légale de l’intérêt légitime (Article 6.1.f du RGPD) qui justifie ce régime plus souple en B2B. Nous y revenons en détail dans la section suivante.

Exemple concret : Thomas, SDR dans une startup SaaS B2B, peut envoyer un cold email à la directrice des achats d’une PME industrielle pour lui présenter son logiciel de gestion des fournisseurs — sans opt-in préalable. En revanche, il ne peut pas envoyer ce même email à un particulier sans avoir obtenu son accord.

L’intérêt légitime : la base légale de votre prospection B2B

L’intérêt légitime est le fondement juridique sur lequel repose la quasi-totalité de la prospection commerciale B2B en Europe. Le RGPD autorise le traitement de données personnelles quand il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement — en l’occurrence, votre entreprise.

Pour que cette base légale soit valide dans un contexte de prospection, trois conditions doivent être réunies :

  • L’intérêt doit être réel et explicite : prospecter pour développer votre activité commerciale est un intérêt légitime reconnu
  • Le traitement doit être nécessaire : vous devez avoir besoin des données pour atteindre cet objectif
  • L’intérêt ne doit pas prévaloir sur les droits du prospect : si votre prospect n’a objectivement aucune raison d’être intéressé par votre offre, la base de l’intérêt légitime devient fragile

En pratique, cela signifie que votre ciblage doit être cohérent. Envoyer une séquence sur un logiciel de comptabilité à des responsables financiers = pertinent. Envoyer la même séquence à des responsables RH ou des commerciaux = beaucoup moins défendable.

La règle de bon sens : si votre prospect peut légitimement se demander pourquoi vous le contactez, votre intérêt légitime est probablement difficile à justifier.

Quelles données B2B sont soumises au RGPD ?

Tout le monde n’a pas la même compréhension de ce qui constitue une “donnée personnelle” en B2B. Voici la distinction qui s’applique en pratique :

Données génériques : hors RGPD

Les coordonnées génériques d’une entreprise ne sont pas des données personnelles. Elles ne permettent pas d’identifier une personne physique spécifique.

  • contact@entreprise.comhors RGPD
  • commercial@entreprise.frhors RGPD
  • Numéro de standard téléphonique → hors RGPD
  • Adresse du siège social → hors RGPD

Données nominatives : soumises au RGPD

Dès qu’une donnée permet d’identifier une personne physique spécifique, le RGPD s’applique — même dans un contexte professionnel.

  • j.dupont@entreprise.comdonnée personnelle
  • jean.dupont@startup.iodonnée personnelle
  • Numéro de mobile professionnel direct → donnée personnelle
  • Profil LinkedIn d’une personne → donnée personnelle

La ligne de démarcation est claire : le caractère nominatif de la donnée détermine l’application du RGPD, pas le contexte professionnel ou B2B de son utilisation.

Comment rester conforme RGPD en pratique : 7 règles d’or

Maintenant que les fondements théoriques sont posés, voyons comment les appliquer concrètement dans votre quotidien de prospection.

1. Informez les prospects de la source de leurs données

Dès le premier contact, vous devez indiquer d’où proviennent les données que vous utilisez. Ce n’est pas une mention à enterrer en pied de mail — c’est une obligation de transparence.

Format recommandé dans votre email :

“Je vous contacte suite à votre profil LinkedIn / suite à votre participation à [événement] / suite à la consultation de votre site web.”

2. Proposez un opt-out clair et systématique

Chaque email de prospection B2B doit contenir un mécanisme de désinscription simple et visible. La CNIL insiste sur le caractère “direct” du lien de désinscription : il doit amener immédiatement à la désinscription, sans étapes supplémentaires.

Dès qu’un prospect se désinscrit, retirez-le de votre liste immédiatement et maintenez une liste de suppression pour éviter de le recontacter via d’autres canaux.

3. Vérifiez la pertinence de votre message

Votre offre doit avoir un rapport raisonnable avec l’activité professionnelle du prospect. “Raisonnable” est le mot-clé : vous n’avez pas à démontrer une certitude, mais à éviter des ciblages manifestement incohérents.

Si vous vendez un outil de data enrichment, cibler des Sales Ops, des Growth Marketers ou des SDR est clairement pertinent. Cibler des professeurs de yoga ou des agriculteurs indépendants — beaucoup moins.

4. Respectez la durée de conservation maximale (3 ans)

En B2B comme en B2C, la CNIL fixe une durée de conservation maximale de 3 ans à compter du dernier contact pour les données de prospection. Passé ce délai sans interaction, les données doivent être supprimées ou anonymisées.

Mettez en place un processus de purge automatique dans votre CRM ou votre Google Sheets : tout contact sans interaction depuis 36 mois sort de votre base active.

Exemple : Marie, Sales Ops chez une agence de lead gen, lance chaque trimestre une revue de sa base de prospection. Elle supprime automatiquement tout prospect sans ouverture d’email ni réponse depuis plus de 3 ans. Résultat : une base plus propre, de meilleurs taux de délivrabilité, et une conformité documentée.

5. Tenez un registre des traitements (Article 30)

Toute organisation traitant des données personnelles doit maintenir un registre des traitements. Ce document liste toutes vos opérations de traitement, en précisant pour chacune : la finalité, les catégories de données, les destinataires, et la durée de conservation.

Vous n’avez pas à le soumettre proactivement à la CNIL — mais il doit être disponible immédiatement en cas d’audit ou de contrôle.

6. Signez un DPA avec vos prestataires d’enrichissement

Quand vous utilisez un outil tiers pour enrichir vos données (email finder, phone finder, scraping LinkedIn), vous leur transférez en partie la responsabilité du traitement. Le RGPD exige alors la signature d’un Data Processing Agreement (DPA) — un contrat qui définit le rôle de chaque partie et les garanties de protection des données.

Vérifiez que votre outil d’enrichissement propose un DPA avant tout usage en production. La plupart des outils sérieux l’incluent dans leurs conditions générales ou sur demande.

7. Maintenez la qualité et la fraîcheur de vos données

Une base de données obsolète est un risque RGPD autant qu’un problème de performance. Selon une étude Salesforce, les bases CRM perdent en moyenne 30% de précision par an par attrition naturelle (changements de poste, départs, fusions d’entreprises).

Des emails invalides génèrent des hard bounces qui dégradent votre réputation d’expéditeur. La vérification régulière de vos emails et la déduplication de vos listes sont à la fois des bonnes pratiques RGPD et des optimisations de délivrabilité.

RGPD et enrichissement de données B2B : ce que vous devez savoir

L’enrichissement de données est au cœur de la prospection B2B moderne. Mais il soulève des questions légitimes côté conformité. Voici les règles qui s’appliquent.

Ce qui est autorisé

  • Enrichir à partir de données publiques (profils LinkedIn publics, sites web d’entreprises, Infogreffe) : autorisé, sous réserve que la finalité soit la prospection B2B et que vous respectiez les droits des personnes
  • Utiliser un outil d’enrichissement tiers : autorisé, à condition que le prestataire soit lui-même RGPD compliant et qu’un DPA soit en place
  • Acheter ou louer une base de données B2B : autorisé, mais vous devez vous assurer que le prestataire peut démontrer la conformité de sa collecte

Ce qui est interdit (ou à risque)

  • Enrichir avec des données personnelles collectées sans base légale : l’origine des données compte autant que leur usage
  • Stocker des données personnelles sans limitation de durée : la règle des 3 ans s’applique
  • Combiner des données sans signaler la nouvelle finalité aux personnes concernées : si vous croisez des bases pour une finalité différente de celle initiale, vous devez en informer les prospects

Chez Derrick, le Lead Email Finder et le Phone Finder from LinkedIn travaillent à partir de données publiquement accessibles, ce qui constitue une base légale solide pour l’enrichissement B2B — à condition, là encore, de respecter les obligations de transparence et d’opt-out lors de l’utilisation des données enrichies.

Article connexe

RGPD et cold emailing B2B : ce que dit la loi en 2026

Découvrez les règles exactes pour envoyer vos séquences de prospection en toute conformité.

RGPD et LinkedIn / scraping : ce qui est autorisé

LinkedIn est la première source de données B2B. Mais le scraping de profils soulève des questions légales qui méritent d’être clarifiées.

Ce que dit le RGPD sur le scraping LinkedIn

Le RGPD n’interdit pas en principe la collecte de données publiquement accessibles pour des fins de prospection B2B. Un profil LinkedIn public est, par définition, visible par tous — l’utilisateur a choisi de rendre ces informations accessibles.

La CNIL confirme que le scraping de données publiques est autorisé pour la prospection commerciale B2B, sous réserve de respecter les droits des personnes (opt-out, transparence, durée de conservation).

Ce que dit LinkedIn dans ses CGU

LinkedIn interdit techniquement le scraping dans ses conditions d’utilisation — ce qui est une question contractuelle distincte du RGPD. En pratique, l’utilisation d’outils d’import comme celui de Derrick, qui opère depuis votre propre session Sales Navigator, reste dans une zone beaucoup plus confortable que le scraping massif anonymisé.

La bonne pratique

Quelle que soit la méthode d’extraction, les données LinkedIn que vous utilisez pour prospecter doivent :

  • N’être utilisées qu’à des fins cohérentes avec l’activité professionnelle du prospect
  • Être accompagnées d’une mention de source (“j’ai trouvé votre profil sur LinkedIn”)
  • Être supprimées sur demande d’opposition

Les sanctions RGPD : quels risques réels pour les équipes sales ?

Soyons honnêtes : le risque d’une sanction CNIL pour une TPE/PME qui prospecte correctement en B2B est faible. La CNIL cible en priorité les grandes entreprises, les acteurs du B2C, et les pratiques manifestement abusives (spamming massif, collecte illicite, revente de données sans consentement).

Cela dit, les risques ne sont pas nuls et méritent d’être connus :

Risques réglementaires :

  • Amendes CNIL jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (pour les grandes entreprises)
  • Avertissements et mises en demeure (plus fréquents pour les PME)
  • Obligation de cesser les traitements non conformes

Risques business (souvent plus concrets) :

  • Plaintes de prospects auprès de la CNIL
  • Impact sur la réputation (un prospect mécontent peut nuire à votre image)
  • Selon un sondage Ifop, 66% des Français se disent prêts à abandonner un service suite à un manquement au RGPD — la conformité est aussi un argument commercial

La bonne nouvelle : respecter les 7 règles décrites plus haut vous place dans une situation de conformité solide pour la prospection B2B courante. Le risque réel naît des abus (spamming, revente de données, absence totale de mécanisme d’opt-out) — pas d’une séquence de cold email bien construite.

Les erreurs RGPD les plus courantes (et comment les corriger)

Problème 1 : Aucun mécanisme d’opt-out dans les emails de prospection

Symptôme : Vos emails de prospection ne contiennent pas de lien de désinscription, ou ce lien est introuvable.

Impact : Violation directe du RGPD et de la directive ePrivacy. Risque de plainte CNIL et de dégradation de votre réputation d’expéditeur.

Solution : Ajoutez systématiquement un lien de désinscription visible en bas de chaque email. La formulation doit être claire : “Se désinscrire” ou “Ne plus recevoir d’emails”. Dès qu’un prospect se désinscrit, supprimez-le de toutes vos listes dans les 24 heures.

Problème 2 : Base de données jamais purgée depuis plus de 3 ans

Symptôme : Vous avez des contacts dans votre CRM ou Google Sheets qui n’ont pas interagi avec vous depuis 4, 5 ou 6 ans.

Impact : Non-conformité sur la durée de conservation. Ces contacts sont probablement obsolètes, ce qui dégrade aussi votre délivrabilité.

Solution : Mettez en place une revue trimestrielle de votre base. Tout contact sans interaction (ouverture, réponse, clic) depuis 36 mois doit être supprimé ou anonymisé. Un simple filtre dans Google Sheets ou votre CRM suffit pour identifier ces contacts.

Problème 3 : Utilisation d’un outil d’enrichissement sans DPA

Symptôme : Vous utilisez un email finder ou un outil de scraping sans avoir vérifié sa conformité RGPD ni signé de DPA.

Impact : En tant que responsable de traitement, vous êtes solidairement responsable des pratiques de vos prestataires. Si l’outil n’est pas conforme, vous l’êtes aussi.

Solution : Avant tout usage d’un outil tiers manipulant des données personnelles, vérifiez qu’il propose un DPA et une politique de confidentialité RGPD. En cas de doute, demandez une attestation de conformité. Privilegiez les outils qui enrichissent à partir de données publiques et qui documentent leur approche RGPD.

Problème 4 : Prospection hors sujet par rapport à l’activité du prospect

Symptôme : Vous envoyez la même séquence de prospection à toute votre liste, sans segmentation par secteur ou fonction.

Impact : Si votre offre n’a pas de pertinence manifeste pour le prospect, votre base légale d’intérêt légitime devient intenable. Risque de plainte et de réputation dégradée.

Solution : Segmentez votre base avant tout envoi. Assurez-vous que chaque séquence est calibrée pour un profil qui a un intérêt objectif pour votre offre. Un outil d’AI Segmentation peut automatiser cette étape.

Problème 5 : Absence de registre des traitements

Symptôme : Aucun document ne liste formellement vos opérations de traitement de données (base de prospection, CRM, newsletter, etc.).

Impact : En cas de contrôle CNIL, vous ne pouvez pas démontrer votre conformité. C’est une violation de l’Article 30 du RGPD.

Solution : Créez un fichier simple (Google Sheets ou Notion) listant chaque traitement : finalité, catégories de données, base légale, durée de conservation, destinataires. Ce document n’a pas besoin d’être complexe — il doit juste exister et être à jour.

À retenir

  • En B2B, le RGPD n’impose pas d’opt-in : vous pouvez prospecter par email sur la base de l’intérêt légitime, sans consentement préalable
  • Les données nominatives (j.dupont@entreprise.com, mobile direct) sont des données personnelles — même en contexte professionnel
  • Trois obligations fondamentales : message pertinent, transparence sur la source, opt-out facile
  • La durée de conservation maximale est de 3 ans après le dernier contact — au-delà, supprimez ou anonymisez
  • Signez un DPA avec vos outils d’enrichissement : leur non-conformité est aussi la vôtre
  • Tenez un registre des traitements même simplifié : c’est l’Article 30, et c’est indispensable en cas de contrôle

Conclusion : la conformité RGPD, un avantage compétitif

Le RGPD ne sonne pas le glas de la prospection B2B. Il en professionnalise les pratiques. Les équipes qui l’intègrent dans leurs process ne font pas que se protéger juridiquement — elles construisent une réputation d’acteur responsable qui rassure leurs prospects et leurs partenaires.

En résumé : prospecter en B2B reste libre et légal en 2026, à condition de cibler intelligemment, d’informer honnêtement, et de faciliter le refus. C’est précisément ce que permet un workflow de prospection bien construit — avec les bons outils, des données enrichies et vérifiées, et une hygiène de base de données régulière.

Des données enrichies, fraîches et conformes dans Google Sheets

Trouvez les emails et téléphones de vos prospects à partir de données publiques, directement dans vos feuilles de calcul. Sans friction, sans risque.

Essayer gratuitement →

Derrick Demo

FAQ

Le cold email B2B est-il légal sous le RGPD ? Oui, le cold email B2B est légal en France et dans la plupart des pays européens sous le RGPD, sur la base de l’intérêt légitime. Vous pouvez contacter un professionnel sans opt-in préalable, à condition que votre offre soit pertinente pour son activité, que vous mentionniez la source de ses données, et que vous proposiez un opt-out clair.

Quelle est la durée maximale de conservation des données de prospection B2B ? La CNIL fixe une limite de 3 ans à compter du dernier contact ou de la dernière interaction. Passé ce délai sans engagement du prospect, les données doivent être supprimées ou anonymisées. Cette règle s’applique identiquement en B2B et en B2C.

Un email du type contact@entreprise.com est-il soumis au RGPD ? Non. Une adresse générique qui n’identifie pas une personne physique spécifique n’est pas une donnée personnelle au sens du RGPD. En revanche, une adresse nominative comme j.dupont@entreprise.com l’est, même dans un contexte professionnel.

Dois-je signer un DPA avec mon outil d’enrichissement de données ? Oui. Dès lors qu’un prestataire traite des données personnelles pour votre compte, un Data Processing Agreement (DPA) est requis par le RGPD (Article 28). La plupart des outils sérieux proposent ce contrat dans leurs CGU ou sur demande. Vérifiez ce point avant tout usage en production.

Puis-je utiliser des données LinkedIn pour prospecter sans violer le RGPD ? Oui, sous conditions. Les données issues de profils LinkedIn publics peuvent être utilisées pour la prospection B2B, à condition que le message soit pertinent pour l’activité professionnelle du prospect, que vous mentionniez LinkedIn comme source, et que vous respectiez les demandes d’opposition. Notez que cela est distinct des CGU de LinkedIn, qui encadrent séparément les pratiques de scraping.

Posted in
Prospection Commerciale

Jonathan Maurin

Related Posts

Comment améliorer la qualité de vos leads B2B grâce à l’enrichissement de données 
Non classé
Comment améliorer la qualité de vos leads B2B grâce à l’enrichissement de données 
Pipeline d’enrichissement de données B2B : architecture et mise en place
Non classé
Pipeline d’enrichissement de données B2B : architecture et mise en place
Waterfall d’enrichissement : comment combiner plusieurs sources pour enrichir 80 %+ de vos leads
Non classé
Waterfall d’enrichissement : comment combiner plusieurs sources pour enrichir 80 %+ de vos leads
Predictive Enrichment : comment anticiper vos données manquantes avant qu’elles coûtent des deals
Non classé
Predictive Enrichment : comment anticiper vos données manquantes avant qu’elles coûtent des deals

Post a comment

Your email address will not be published.

Denounce with righteous indignation and dislike men who are beguiled and demoralized by the charms pleasure moment so blinded desire that they cannot foresee the pain and trouble.

Latest Post

Comment améliorer la qualité de vos leads B2B grâce à l’enrichissement de données 

Pipeline d’enrichissement de données B2B : architecture et mise en place

Waterfall d’enrichissement : comment combiner plusieurs sources pour enrichir 80 %+ de vos leads

Predictive Enrichment : comment anticiper vos données manquantes avant qu’elles coûtent des deals

Migration d’un provider d’enrichissement de données à un autre : guide complet

Need Any Help? Or Looking For an Agent

9806071234
sendmail@example.com
Working Hours : Sun-monday, 09am-5pm
© 2023 nioland. All Rights Reserved.