En janvier 2026, la CNIL a infligé 27 millions d’euros d’amende à Free Mobile et 15 millions à Free — deux décisions rendues le même jour. Quelques semaines plus tôt, France Travail écopait de 5 millions d’euros pour une faille de sécurité massive. Les sanctions RGPD ne sont plus réservées aux géants du numérique : elles touchent aujourd’hui des entreprises de toutes tailles, dans tous les secteurs.
Si vous êtes SDR, Growth Marketer ou Sales Ops et que vous gérez des bases de données de prospects, vous êtes directement concerné. Ce guide vous explique concrètement ce que risque votre entreprise, quels sont les manquements les plus sanctionnés en prospection B2B, et comment réduire votre exposition au risque.
Enrichissez vos données B2B depuis des sources professionnelles
Derrick trouve emails et téléphones de vos prospects directement dans Google Sheets, à partir de sources vérifiées.
Qu’est-ce qu’une sanction RGPD ? Définition et portée
Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, donne aux autorités de contrôle européennes le pouvoir de sanctionner tout organisme — entreprise, association, collectivité — qui ne respecte pas ses obligations en matière de traitement des données personnelles.
En France, c’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui joue ce rôle. Elle peut intervenir à la suite d’une plainte d’un particulier, d’un signalement, ou de sa propre initiative lors de contrôles programmatiques sur des secteurs à risque.
Une sanction RGPD ne signifie pas automatiquement une amende. La CNIL dispose d’un arsenal de mesures graduées, allant du simple avertissement à l’amende publique, en passant par des injonctions de mise en conformité. L’objectif est avant tout d’obtenir un changement de pratique — mais le coût financier et réputationnel peut être considérable.
Point clé pour les équipes commerciales : dès que vous traitez des données de personnes physiques — adresses email nominatives, numéros de téléphone, profils LinkedIn — vous entrez dans le champ d’application du RGPD, même si ces données sont utilisées à des fins purement professionnelles.
Les types de sanctions RGPD que la CNIL peut prononcer
La CNIL dispose de plusieurs outils pour sanctionner les manquements. Il est important de les distinguer, car ils n’ont pas le même impact opérationnel ni la même visibilité.
Le rappel à l’ordre
C’est la mesure la plus légère. La CNIL signale un manquement sans imposer de pénalité financière. Elle peut toutefois être rendue publique, ce qui suffit parfois à causer un préjudice réputationnel.
La mise en demeure
L’entreprise reçoit une injonction formelle de se mettre en conformité dans un délai fixé. Si elle ne respecte pas ce délai, la CNIL peut ouvrir une procédure de sanction. La mise en demeure n’est généralement pas publiée, sauf exception.
L’injonction sous astreinte
La CNIL peut assortir une injonction d’une astreinte financière allant jusqu’à 100 000 euros par jour de retard. C’est une mesure de pression particulièrement efficace pour contraindre les entreprises récalcitrantes à agir rapidement.
L’amende administrative
C’est la sanction la plus redoutée. Son montant dépend de la gravité du manquement et de la taille de l’entreprise. Deux niveaux existent selon la nature de la violation (voir section suivante). Les amendes prononcées dans le cadre de la procédure ordinaire sont rendues publiques sur le site de la CNIL.
La restriction ou suspension du traitement
Dans les cas les plus graves, la CNIL peut ordonner l’arrêt temporaire ou définitif d’un traitement de données — ce qui peut paralyser une activité commerciale entière. C’est la sanction la plus redoutée des entreprises dont le modèle repose sur la donnée.
Les montants des amendes RGPD : ce que risque réellement votre entreprise
L’article 83 du RGPD prévoit deux niveaux de sanctions financières, selon la gravité du manquement.
| Type de violation | Amende maximale |
|---|---|
| Manquements “techniques” (art. 83.4) | 10 millions d’euros ou 2% du CA annuel mondial |
| Manquements “fondamentaux” (art. 83.5) | 20 millions d’euros ou 4% du CA annuel mondial |
C’est toujours le montant le plus élevé qui s’applique. Pour une startup réalisant 5 millions d’euros de CA, le plafond théorique reste à 10 ou 20 millions. Pour une multinationale, c’est le pourcentage du CA mondial qui s’applique — ce qui explique les amendes records infligées à Meta (1,2 milliard d’euros) ou Google.
La procédure simplifiée : un risque sous-estimé pour les PME
Depuis 2022, la CNIL dispose d’une procédure simplifiée pour traiter les dossiers moins complexes, notamment les plaintes de particuliers contre des entreprises de taille modeste. Cette procédure présente deux caractéristiques importantes :
- L’amende est plafonnée à 20 000 euros
- La décision n’est pas rendue publique
Ce plafond peut sembler rassurant. Mais en 2024, la CNIL a prononcé près de trois fois plus de sanctions simplifiées qu’en 2023 — ce qui signifie que les petites structures sont de plus en plus dans le viseur. Le manquement le plus souvent retenu : le défaut de coopération avec la CNIL (ne pas répondre à ses sollicitations).
Le coût réel d’une sanction dépasse toujours l’amende
Une amende de 20 000 euros coûte rarement 20 000 euros à l’entreprise sanctionnée. Il faut y ajouter les frais de mise en conformité imposés, les honoraires d’avocat, le coût organisationnel de la remédiation, et l’impact réputationnel si la décision est publiée. Les estimations sectorielles suggèrent un coût total de 2 à 4 fois le montant de l’amende.
Cas réels d’amendes RGPD : France et Europe
Les sanctions RGPD ne sont pas des menaces abstraites. Voici un panorama des cas les plus marquants, à différentes échelles.
Les grandes amendes européennes
Meta Platforms (Irlande, 2023) : 1,2 milliard d’euros. L’autorité irlandaise a sanctionné le transfert de données personnelles d’utilisateurs européens vers les États-Unis sans garanties suffisantes. C’est à ce jour la plus grosse amende RGPD jamais prononcée en Europe.
Uber (Pays-Bas, 2024) : 290 millions d’euros, en coopération avec la CNIL française. Motif : transfert des données de chauffeurs européens vers les États-Unis pendant plus de deux ans, sans mécanisme de protection adéquat.
Amazon (Luxembourg, 2021) : 746 millions d’euros pour non-conformité de son système publicitaire. Une décision qui a rappelé que le ciblage publicitaire est au cœur des préoccupations des autorités européennes.
Les amendes françaises récentes
| Entreprise | Montant | Motif | Année |
|---|---|---|---|
| Free Mobile | 27 M€ | Violations multiples données personnelles | Janvier 2026 |
| Free | 15 M€ | Violations multiples données personnelles | Janvier 2026 |
| France Travail | 5 M€ | Faille de sécurité, données de demandeurs d’emploi | Janvier 2026 |
| Société anonyme (fidélité) | 3,5 M€ | Transfert données programme fidélité à réseau social | Décembre 2025 |
| NEXPUBLICA FRANCE | 1,7 M€ | Mesures de sécurité insuffisantes sur logiciel PCRM | Décembre 2025 |
| Google (cookies) | 90 M€ | Cookies publicitaires sans consentement préalable | 2022 |
| Amazon (cookies) | 35 M€ | Même motif | 2022 |
Les sanctions qui concernent directement la prospection B2B
Deux cas documentés illustrent les risques spécifiques aux équipes commerciales :
Société de services numériques (2024) : mise en demeure après avoir acheté un fichier de prospection auprès d’un courtier en données, sans vérifier la licéité de la collecte initiale. La CNIL a considéré que l’acheteur, en tant que responsable de traitement, était co-responsable de la conformité de toute la chaîne de collecte.
Entreprise de formation professionnelle (2023) : avertissement public pour avoir collecté des adresses email lors de salons professionnels sans informer suffisamment les personnes sur l’utilisation envisagée de leurs données. La CNIL a rappelé que le contexte professionnel ne dispense pas de l’obligation d’information.
Ces exemples montrent que la taille de l’entreprise ne protège pas — et que les pratiques courantes en prospection B2B (achat de fichiers, collecte en salon, scraping non documenté) sont dans le viseur.
Les manquements RGPD les plus sanctionnés en prospection B2B
Si vous gérez des campagnes de cold email, des imports LinkedIn ou des bases CRM, voici les erreurs qui déclenchent le plus souvent une plainte ou un contrôle.
1. L’absence de droit d’opposition (opt-out)
En B2B, le consentement préalable n’est pas obligatoire : vous pouvez contacter un professionnel sans son accord, à condition que le message soit en lien avec son activité. Mais chaque email de prospection doit impérativement contenir un lien de désinscription fonctionnel, visible, et permettant de s’opposer en un clic — sans justification demandée.
L’absence d’opt-out est l’une des causes les plus fréquentes de plainte auprès de la CNIL. Et les demandes de désinscription doivent être traitées sous 24 à 48 heures maximum.
2. La conservation de données au-delà de 3 ans
La CNIL recommande de ne pas conserver les données d’un prospect au-delà de 3 ans après le dernier contact actif. Au-delà, les données doivent être supprimées ou anonymisées. Des bases CRM jamais nettoyées, qui conservent des contacts depuis 5 ou 7 ans sans interaction, constituent un risque direct.
En 2023, une société de recrutement a été sanctionnée pour avoir conservé des CV pendant plus de 5 ans sans justification. La même logique s’applique aux bases de prospects commerciaux.
3. L’achat de fichiers sans vérification de la chaîne de conformité
Acheter une base de données “RGPD compliant” à un courtier ne vous exonère pas de responsabilité. Vous devez vous assurer que :
- Les données ont été collectées légalement
- Les personnes ont été informées que leurs données pourraient être cédées à des tiers
- Des preuves de conformité peuvent être fournies sur demande
Si le fournisseur refuse de documenter l’origine des données, c’est un signal d’alarme majeur.
4. La prospection hors du champ professionnel du destinataire
La base légale de l’intérêt légitime ne s’applique qu’à condition que le message soit directement lié à la fonction exercée par le destinataire. Contacter une DRH pour lui proposer un outil RH est conforme. Lui envoyer une offre de séjour touristique ou un produit sans rapport avec son poste bascule dans le régime B2C — et nécessite alors un consentement préalable.
5. L’absence de transparence sur l’origine des données
Tout prospect doit pouvoir savoir d’où viennent ses données. La CNIL exige que l’email de prospection mentionne la source des données (LinkedIn, annuaire professionnel, salon X, etc.) et les droits dont dispose le destinataire. C’est l’article 14 du RGPD — souvent oublié dans les templates de cold email.
6. Les auto-entrepreneurs et travailleurs indépendants : une exception à connaître
Les règles B2B souples ne s’appliquent pas aux auto-entrepreneurs et entreprises individuelles. Ces personnes sont assimilées à des personnes physiques au sens du RGPD : le régime B2C s’applique, et le consentement préalable est donc obligatoire avant tout contact commercial.
C’est une erreur fréquente chez les équipes qui ciblent des freelances ou des consultants indépendants.
Cold emailing et RGPD : ce que la loi dit vraiment
Toutes les règles à connaître pour prospecter par email en restant conforme.
Comment la CNIL déclenche-t-elle un contrôle ?
Comprendre les déclencheurs d’un contrôle CNIL permet d’évaluer votre niveau d’exposition réel.
Les plaintes de particuliers
C’est le vecteur le plus courant. En 2023, la CNIL a reçu plus de 16 000 plaintes. Un prospect excédé par vos emails, un ancien client qui n’arrive pas à se désabonner, un contact qui n’arrive pas à obtenir la suppression de ses données — chacun peut saisir la CNIL en quelques clics via son formulaire en ligne.
La CNIL dispose alors de trois ans pour enquêter à partir de la commission du manquement.
Les contrôles programmatiques
Chaque année, la CNIL définit des thématiques prioritaires et effectue des contrôles ciblés sur les entreprises du secteur concerné — sans qu’aucune plainte ne soit nécessaire. En 2024, les cookies et les données de salariés étaient dans le viseur. En 2025, la CNIL a annoncé un focus sur l’e-commerce, la santé et les collectivités territoriales.
Aucune entreprise ne peut se considérer “trop petite pour être contrôlée”. Entre 2023 et 2024, le nombre de contrôles a augmenté de 300%.
Les signalements et violations de données
Toute violation de données (fuite, accès non autorisé, perte de données) doit être notifiée à la CNIL dans les 72 heures. Si la violation concerne des données sensibles ou un grand nombre de personnes, c’est un déclencheur direct de procédure. France Travail en a fait l’expérience en janvier 2026 : une faille de sécurité exposant des millions de demandeurs d’emploi s’est soldée par une amende de 5 millions d’euros.
Comment réduire votre risque de sanction RGPD : guide pratique
Voici les actions concrètes à mettre en place pour sécuriser vos pratiques de prospection B2B.
Étape 1 : Documentez l’origine de chaque contact
Pour chaque lead de votre base, vous devez être capable de répondre à la question : “D’où vient cette donnée ?” LinkedIn, formulaire de contact, salon professionnel, achat de fichier : chaque source doit être documentée. Un simple champ “Source” dans votre CRM ou votre Google Sheets peut suffire.
Résultat attendu : En cas de contrôle ou de plainte, vous pouvez justifier l’origine de vos données en moins de 10 minutes.
Étape 2 : Intégrez les mentions obligatoires dans vos emails
Tout email de prospection B2B doit inclure, au minimum :
- L’identité de l’expéditeur (nom, entreprise, adresse)
- La finalité du traitement (prospection commerciale)
- L’origine des données (“Nous avons trouvé vos coordonnées sur LinkedIn”)
- Le droit d’opposition avec lien de désinscription fonctionnel
- La durée de conservation prévue (3 ans maximum)
Ce bloc peut être intégré dans le footer de tous vos templates. Une fois mis en place, il ne prend pas plus de 30 secondes à rédiger.
Étape 3 : Nettoyez votre base CRM régulièrement
Programmez un nettoyage trimestriel de vos bases de données. Supprimez les contacts sans interaction depuis plus de 3 ans, les adresses qui rebondissent systématiquement, et les désabonnés qui n’ont pas encore été retirés. Une base propre réduit à la fois votre risque légal et améliore votre délivrabilité.
Pour cette étape, l’enrichissement de vos données peut vous aider à identifier les contacts obsolètes et à mettre à jour les informations manquantes — évitant ainsi de conserver des données erronées ou périmées dans votre CRM.
Étape 4 : Vérifiez vos emails avant d’envoyer
Les adresses email invalides génèrent des hard bounces, ce qui nuit à votre réputation d’expéditeur et trahit une base mal maintenue — un signal négatif en cas de contrôle. Utilisez un outil de vérification d’emails pour valider vos listes avant chaque campagne.
Objectif : Maintenir un taux de rebond sous 2% dans vos campagnes de cold emailing.
Étape 5 : Tenez un registre des traitements
L’article 30 du RGPD impose à la plupart des entreprises de tenir un registre des activités de traitement. Pour chaque traitement (base prospects, CRM, fichier clients), vous devez documenter : la finalité, les catégories de données, les destinataires, la durée de conservation, et les mesures de sécurité mises en place.
Ce registre est le premier document que la CNIL demande lors d’un contrôle. Son absence est en elle-même un motif de sanction.
Étape 6 : Formez vos équipes commerciales
Les SDR et BDR sont souvent les premiers à créer et manipuler des données prospects. Une formation courte (2 heures) sur les fondamentaux du RGPD en B2B — base légale, droit d’opposition, durée de conservation — suffit à réduire significativement le risque de manquement involontaire.
Pour aller plus loin sur les bonnes pratiques de lead generation B2B dans le respect des règles, consultez notre guide dédié.
Les erreurs à éviter absolument (troubleshooting)
Problème 1 : Achat d’un fichier sans documentation de conformité
Symptôme : Le fournisseur de données ne peut pas vous communiquer l’origine des données, les preuves de consentement ou les mentions d’information fournies aux personnes.
Impact : Vous êtes co-responsable de toute la chaîne de traitement. Si la collecte initiale était illicite, votre utilisation l’est aussi — même si vous étiez de bonne foi.
Solution : Exigez systématiquement un contrat mentionnant la source des données, les preuves de conformité et une clause d’indemnisation en cas de sanction. En l’absence de ces éléments, ne pas utiliser le fichier. Privilégiez des sources vérifiables : LinkedIn, sites professionnels publics, outils d’enrichissement documentés.
Problème 2 : Des prospects qui se désabonnent mais continuent de recevoir vos emails
Symptôme : Des contacts ayant cliqué sur “Se désabonner” reçoivent encore vos séquences de prospection.
Impact : Chaque email envoyé après une demande d’opposition constitue un manquement. Ces personnes peuvent se plaindre à la CNIL. C’est l’un des motifs de plainte les plus fréquents.
Solution : Mettez en place un processus automatisé de suppression des désabonnés dans votre CRM dans les 48 heures suivant leur demande. Vérifiez que vos outils d’envoi (Lemlist, Instantly, etc.) synchronisent bien les opt-out avec votre base centrale.
Problème 3 : Conservation de données au-delà de 3 ans
Symptôme : Votre CRM contient des contacts créés il y a 4 ou 5 ans, sans aucune interaction récente, et qui n’ont jamais demandé à être supprimés.
Impact : Conservation illicite de données personnelles, passible de sanction en cas de contrôle ou de plainte de l’un de ces contacts.
Solution : Paramétrez une alerte automatique à 36 mois après le dernier contact actif. Les contacts concernés reçoivent un dernier email de “réactivation” — s’ils ne répondent pas, leurs données sont supprimées ou anonymisées. Documentez ce processus dans votre registre des traitements.
Problème 4 : Ciblage d’auto-entrepreneurs avec les règles B2B
Symptôme : Votre liste inclut des auto-entrepreneurs ou travailleurs indépendants, et vous les prospectez sans consentement préalable.
Impact : Ces personnes sont juridiquement assimilées à des particuliers. Vous avez besoin de leur consentement explicite avant tout contact commercial — à défaut, vous êtes en infraction avec les règles B2C.
Solution : Segmentez votre base selon le statut juridique des contacts. Les SARL, SAS, SA et autres formes de sociétés relèvent du régime B2B. Les auto-entrepreneurs et EIRL relèvent du régime B2C. Adaptez votre approche en conséquence, ou construisez votre fichier client en excluant ce segment de vos séquences de cold emailing classiques.
À retenir
- Les amendes RGPD peuvent atteindre 20 millions d’euros ou 4% du CA mondial — c’est le montant le plus élevé qui s’applique
- En 2024, la CNIL a prononcé 87 sanctions en France, soit le double de 2023 ; les contrôles sur les PME ont augmenté de 300%
- En B2B, le consentement préalable n’est pas obligatoire — mais le droit d’opposition (opt-out) dans chaque email, oui
- Les données de prospects B2B ne peuvent pas être conservées plus de 3 ans après le dernier contact actif
- Acheter un fichier de prospection vous rend co-responsable de la conformité de toute la chaîne de collecte
- Les auto-entrepreneurs et indépendants sont assimilés à des particuliers : le régime B2C s’applique
- L’absence de registre des traitements est en elle-même un motif de sanction CNIL
Conclusion : la conformité RGPD, un investissement, pas une contrainte
Les sanctions RGPD ne relèvent plus du risque théorique. En janvier 2026 seulement, la CNIL a prononcé plus de 47 millions d’euros d’amendes en France. Et la tendance est à l’accélération : plus de contrôles, des amendes plus fréquentes, et une vigilance accrue sur les pratiques de prospection commerciale.
Pour les équipes B2B, la bonne nouvelle est que la conformité ne nécessite pas de tout réinventer. Elle repose sur quelques principes opérationnels simples : documenter l’origine de vos données, intégrer les mentions légales dans vos templates, nettoyer régulièrement vos bases, et respecter les demandes de désinscription dans les 48 heures.
Une base de données propre, à jour et bien documentée n’est pas seulement une obligation légale — c’est aussi un avantage concurrentiel. Les équipes qui travaillent avec des données de qualité prospectent plus efficacement, livrent moins de rebonds, et construisent une réputation d’expéditeur qui tient dans le temps.
Pour alimenter vos bases avec des données professionnelles vérifiables depuis des sources publiques, consultez la page GDPR Compliance de notre glossaire pour approfondir les définitions clés.
Des données B2B propres, à jour et traçables
Derrick enrichit vos prospects dans Google Sheets depuis LinkedIn et des sources professionnelles. Moins de données périmées, moins de risques.
FAQ
Les sanctions RGPD s’appliquent-elles aux petites entreprises ? Oui. La CNIL sanctionne les entreprises de toutes tailles, y compris les TPE et PME. La procédure simplifiée permet d’infliger des amendes jusqu’à 20 000 euros sans procédure publique, et les contrôles sur les petites structures ont augmenté de 300% entre 2023 et 2024. Taille ne rime pas avec immunité.
Faut-il un consentement préalable pour envoyer des cold emails en B2B ? Non, pas si le destinataire est salarié d’une société et que votre message est en lien avec son activité professionnelle. En B2B, la base légale est l’intérêt légitime (opt-out). Mais chaque email doit contenir un lien de désinscription fonctionnel, et les demandes d’opposition doivent être traitées sous 48 heures.
Combien de temps peut-on conserver les données d’un prospect B2B ? La CNIL recommande une durée maximale de 3 ans à compter du dernier contact actif. Au-delà, les données doivent être supprimées ou anonymisées. En cas de contrôle, une base contenant des contacts sans interaction depuis plus de 3 ans constitue un manquement documentable.
Qu’est-ce que la procédure simplifiée de la CNIL ? C’est une procédure rapide pour les dossiers peu complexes. Elle est traitée par un seul membre de la formation restreinte, la décision n’est pas publique, et l’amende est plafonnée à 20 000 euros. Elle est de plus en plus utilisée : la CNIL en a prononcé trois fois plus en 2024 qu’en 2023.
Peut-on être sanctionné pour un fichier acheté à un tiers ? Oui. En achetant un fichier de prospection, vous devenez responsable de traitement. Si les données ont été collectées de manière non conforme par votre fournisseur, vous êtes co-responsable. La CNIL l’a rappelé dans plusieurs décisions récentes. Exigez toujours une documentation de conformité avant tout achat.
Jonathan Maurin
Related Posts
