Prospection B2B France 2026 : guide RGPD et CNIL conformité légale
La CNIL a durci sa doctrine sur la prospection B2B en 2025. Voici le guide pratique 2026 pour rester conforme tout en restant efficace.
Le cadre légal 2026
La prospection B2B en France est régie par trois textes principaux :
- RGPD (Règlement européen 2016/679) — base légale du traitement
- LCEN article L34-5 — droit français de l'envoi commercial
- Doctrine CNIL mise à jour janvier 2025
Contrairement à un mythe persistant, le B2B n'est pas exempté du RGPD. Il bénéficie simplement d'un régime allégé.
La règle d'or 2026 : base légale "intérêt légitime"
Pour prospecter une personne dans le cadre de son activité professionnelle :
- Pas besoin de consentement préalable explicite
- Base légale = intérêt légitime (RGPD art. 6.1.f)
- Conditions : message en rapport direct avec l'activité de la personne, droit d'opposition simple à exercer
Exemple conforme : envoyer un email à prenom.nom@cabinet-comptable.fr pour proposer un logiciel comptable.
Exemple NON conforme : envoyer le même email à prenom.nom@gmail.com (adresse personnelle, même si la personne est expert-comptable).
Les 5 obligations pratiques
1. Sources légales uniquement
Vous devez pouvoir prouver d'où vient chaque donnée. Sources acceptées :
- SIRENE / RNE / data.gouv.fr (open data)
- Site web public de l'entreprise (mention du contact pro)
- LinkedIn profil public (avec limites — voir CNIL 2025)
- Annuaires professionnels publics
Sources interdites :
- Scraping de pages personnelles
- Achat de fichiers "premium" sans traçabilité
- Bases de données scrappées sur LinkedIn via API non officielles (Unipile etc.)
2. Information de la personne (RGPD art. 14)
Dès le premier contact, le message doit indiquer :
- Qui vous êtes (raison sociale, SIRET)
- Pourquoi vous traitez ses données (intérêt légitime — prospection commerciale)
- D'où vient l'information (ex. "données issues du registre SIRENE")
- Comment exercer son droit d'opposition
3. Opt-out facile (LCEN art. L34-5)
Chaque email commercial DOIT contenir :
- Un lien de désinscription en 1 clic
- Une mention "Pour ne plus recevoir nos messages : [lien]"
- Le respect de la demande sous 7 jours maximum
4. Registre des traitements (RGPD art. 30)
Obligatoire dès 1 salarié ou si traitement régulier. Le registre doit lister :
- Finalité (prospection commerciale)
- Base légale (intérêt légitime)
- Catégories de données (nom, email pro, fonction, entreprise)
- Durée de conservation (3 ans après dernier contact)
- Sous-traitants éventuels (emailing, CRM, etc.)
5. Sécurité des données
Au minimum :
- Chiffrement en transit (HTTPS)
- Chiffrement au repos pour données sensibles (clés API, mots de passe)
- Accès limité aux personnes habilitées
- Pas d'export en clair sur clés USB non chiffrées
Les sanctions
La CNIL a infligé en 2024-2025 :
- 240 000€ à un éditeur SaaS B2B pour absence de registre + opt-out défaillant
- 90 000€ à une agence pour scraping LinkedIn sans base légale
- 38 000€ à un cabinet conseil pour conservation excessive (10 ans au lieu de 3)
Comment Hunteopro garantit la conformité
Notre architecture native :
- Sources 100% publiques (SIRENE, recherche-entreprises.api.gouv.fr, BODACC, France Travail)
- Registre des traitements auto-généré par tenant
- Opt-out automatique géré côté Brevo avec respect sous 24h
- DPA signé OpenAI et Brevo (sous-traitants déclarés)
- Chiffrement AES-256-GCM pour toutes les clés API et données sensibles
- Audit trail complet : qui a vu quoi, quand
Le mot de la fin
La conformité RGPD/CNIL en prospection B2B n'est pas un frein, c'est une discipline. Les entreprises qui jouent le jeu construisent une réputation propre et durable. Celles qui trichent finissent au tribunal.
Hunteopro a été conçu dès le premier jour pour respecter ces règles, pas pour les contourner.
Prêt à tester Hunteopro sur votre cible ?
14 jours d'essai gratuit, sans CB, sans engagement. Définissez votre cible sur la carte de France et lancez votre premier enrichissement en 10 minutes.