RGPD Prospection B2B France : Guide Légal Complet 2026
RGPD et prospection B2B France : règles Article L34-5, amendes exactes (20M€ ou 4% CA), droits CNIL. 16 433 plaintes en 2023. Guide complet mis à jour 2026.
Écrit par Regis LaffondExpert prospection B2B••13 min
# RGPD Prospection B2B : Guide Légal Complet 2026
La prospection B2B par email est légale en France sans consentement préalable, à condition de respecter trois règles précises de l'Article L34-5 du Code des postes et communications électroniques (CPCE). En 2023, la CNIL a prononcé 42 sanctions pour un total de 89,2 millions d'euros d'amendes, dont plusieurs pour prospection commerciale non conforme ([CNIL Rapport Annuel 2023](https://www.cnil.fr/fr/rapport-annuel), 2024). Comprendre ces règles protège votre entreprise et vous permet de prospecter sereinement.
**TL;DR** - La prospection B2B par email est **légale sans consentement** si l'offre est liée à l'activité du prospect - Les amendes RGPD atteignent **20 millions d'euros ou 4% du CA mondial** (Article 83(5) du RGPD) - L'Article L34-5 CPCE fixe des sanctions spécifiques jusqu'à **375 000€** pour prospection non conforme - Un simple lien de désinscription fonctionnel suffit pour être en règle côté B2B - Les données SIRENE (API Gouv) sont **100% légales** pour la prospection professionnelle
---
Quel cadre légal s'applique à la prospection B2B en France ?
La prospection B2B en France relève de deux textes qui se complètent : l'Article L34-5 du CPCE, qui régit spécifiquement la prospection par email, et le RGPD (Règlement UE 2016/679), qui encadre plus largement le traitement des données personnelles. Pour les emails professionnels envoyés à des entreprises, le régime est l'opt-out : pas besoin de consentement préalable, à condition que trois conditions soient remplies simultanément.
Ce que dit l'Article L34-5 CPCE
**Principe opt-out B2B (Article L34-5 du CPCE)** : Les professionnels peuvent utiliser des coordonnées professionnelles pour de la prospection commerciale par voie électronique, sans consentement préalable, à condition que : 1. L'offre soit **directement liée à l'activité professionnelle** du prospect 2. Un **mécanisme d'opposition** (lien de désinscription) soit inclus dans chaque email 3. Les coordonnées aient été **collectées légalement**
Ces trois conditions sont cumulatives. Il suffit qu'une seule ne soit pas respectée pour que l'envoi soit non conforme.
Opt-out B2B vs opt-in B2C : la différence fondamentale
Le régime français crée une distinction nette selon le type de destinataire. En B2B, la prospection vers des emails professionnels ne nécessite pas de consentement préalable. En B2C, vers des emails personnels (gmail.com, yahoo.fr, orange.fr...), le consentement explicite est obligatoire avant tout envoi.
| Destinataire | Régime | Consentement requis ? | Base légale |
|---|---|---|---|
| Email professionnel B2B | Opt-out | Non (offre liée à l'activité) | Art. L34-5 CPCE |
| Email personnel B2C | Opt-in | Oui, obligatoire | Art. L34-5 CPCE |
| Personne morale (contact@entreprise.fr) | Opt-out | Non | Art. L34-5 CPCE |
| Téléphone professionnel B2B | Opt-out | Non (offre liée à l'activité) | Art. L34-5 CPCE |
**Règle pratique :** Ne prospectez jamais d'adresses email se terminant par @gmail.com, @yahoo.fr, @hotmail.com, @orange.fr ou tout autre fournisseur grand public — même si la personne se présente comme un professionnel.
---
Quelles sont les sanctions réelles en cas de non-conformité ?
Le RGPD prévoit deux niveaux d'amendes selon la gravité de l'infraction, définis à l'Article 83 du règlement. Ce n'est pas une graduation optionnelle : les montants sont fixés par le texte de loi européen et s'appliquent en France via la CNIL. La confusion entre les amendes CPCE (spécifiques à la prospection) et les amendes RGPD (générales) est fréquente — voici la distinction exacte.
Les amendes RGPD pour violations des principes de base du traitement des données atteignent 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel selon l'Article 83(5) du RGPD ([EUR-Lex, Règlement UE 2016/679](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679)). En France, la CNIL a prononcé 42 sanctions pour 89,2 millions d'euros en 2023 — dont Groupe Canal+ (600 000€) pour prospection sans base légale. Ces montants sont cumulables avec les amendes CPCE spécifiques à la prospection électronique (375 000€ max par infraction).
Amendes RGPD Article 83 (texte de loi, Règlement UE 2016/679)
Le RGPD distingue deux catégories d'infractions avec des plafonds différents :
Article 83(4) — Infractions de niveau 1 (violations des obligations DPO, analyses d'impact, certifications) : - Amende maximale : 10 000 000 € ou 2% du CA mondial annuel (le montant le plus élevé s'applique)
Article 83(5) — Infractions de niveau 2 (violation des principes de base, consentement, droits des personnes, transferts hors UE) : - Amende maximale : 20 000 000 € ou 4% du CA mondial annuel (le montant le plus élevé s'applique)
Ces montants concernent les personnes morales. Pour les personnes physiques, la même proportion s'applique sur le patrimoine personnel dans les cas de responsabilité pénale associée.
Amendes spécifiques prospection (Article L34-5 CPCE)
L'Article L34-5 du CPCE prévoit des sanctions propres à la prospection commerciale électronique, distinctes et cumulables avec les sanctions RGPD :
| Infraction | Personne physique | Personne morale |
|---|---|---|
| Prospection sans respect des conditions opt-out B2B | 75 000 € | 375 000 € |
| Violation consentement opt-in B2C | 75 000 € | 375 000 € |
| Non-respect du droit d'opposition | 75 000 € | 375 000 € |
Source : [Légifrance, Article L34-5 CPCE](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000028345210)
L'activité CNIL en chiffres réels
Pour donner une mesure du risque concret, voici les données du rapport annuel 2023 de la CNIL (publié en 2024) :
- **16 433 plaintes** reçues par la CNIL en 2023 ([CNIL Rapport Annuel 2023](https://www.cnil.fr/fr/rapport-annuel), 2024)
- **42 sanctions** prononcées en 2023
- **89,2 millions d'euros** d'amendes au total en 2023
- **Groupe Canal+** : 600 000 € d'amende en 2024 pour prospection sans base légale et non-respect des droits d'accès ([CNIL délibérations 2024](https://www.cnil.fr/fr/deliberations))
La prospection commerciale figure régulièrement parmi les premières causes de plaintes à la CNIL. Ce n'est pas une zone de risque théorique.
---
Pourquoi les données SIRENE sont-elles légalement utilisables ?
Les données SIRENE constituent la base la plus sûre pour la prospection B2B en France, car elles sont publiques par construction légale. L'INSEE est autorisé à diffuser les données identifiantes du répertoire SIRENE en vertu de l'Article L124-2 du Code de commerce. Ces données incluent le nom de l'entreprise, le SIRET, l'adresse, le code NAF et les informations d'identification du dirigeant.
Sources de données légales pour la prospection B2B
| Source | Type | Légalité | Utilisation possible |
|---|---|---|---|
| API Entreprises (API Gouv) | Publique | ✅ Légal | SIRET, dirigeant, adresse |
| Base SIRENE (INSEE) | Publique | ✅ Légal | Identification entreprise |
| Data.gouv.fr | Open data | ✅ Légal | Données établissements |
| Site web de l'entreprise | Public | ✅ Légal | Email, téléphone affichés |
| Registre INPI | Public | ✅ Légal | Dirigeants, mandataires |
| LinkedIn (profils publics) | Semi-public | ✅ Légal (emails pro uniquement) | Contacts professionnels |
La limite est claire : ces données ne peuvent être utilisées qu'à des fins de prospection liée à l'activité professionnelle du contact. Le reselling de ces données sans accord explicite est interdit.
Données des dirigeants : ce que vous pouvez utiliser
Le Registre des Bénéficiaires Effectifs (RBE, anciennement UBOFS) rend publics le nom, prénom, date de naissance et nationalité des dirigeants et bénéficiaires effectifs d'entreprises. Ces informations, combinées aux emails professionnels trouvés via enrichissement légal, forment la base d'une prospection conforme.
Un email professionnel enrichi par inférence (jean.dupont@entreprise.fr à partir du prénom/nom/domaine) est légalement acceptable en B2B, à condition que l'adresse soit bien professionnelle et que le lien avec l'activité soit établi.
---
Comment structurer un email de prospection conforme ?
Un email de prospection B2B conforme au regard de l'Article L34-5 CPCE répond à une structure précise. Les erreurs les plus fréquentes sont l'absence de lien de désinscription visible, un objet trompeur, ou un manque de lien entre l'offre et l'activité du destinataire.
Exemple d'email conforme (structure type)
`
De : Regis Laffond
Bonjour [Prénom],
[Corps du message lié à l'activité professionnelle du prospect]
Cordialement, Regis Laffond Exemple Société — 123 rue de la Prospection, 75001 Paris Tél : 01 23 45 67 89
---
Vous recevez cet email car nous pensons qu'il peut intéresser votre activité professionnelle.
Pour ne plus recevoir nos emails : [Se désinscrire]
`
Les 5 éléments obligatoires
**Identité de l'expéditeur** — Nom et coordonnées complètes (adresse physique incluse)
**Objet honnête** — Pas de tromperie sur l'objet ou l'identité de l'expéditeur
**Lien avec l'activité** — Le prospect doit percevoir la pertinence pour son métier
**Lien de désinscription visible** — Dans le corps ou le pied de page, fonctionnel
**Traitement des désinscriptions sous 24h** — Obligation légale dès réception
Un lien de désinscription caché dans une police minuscule ou noyé dans du texte blanc ne satisfait pas l'obligation légale. La CNIL a sanctionné ce type de pratique.
---
Quelles obligations RGPD s'appliquent à un service de prospection B2B ?
Au-delà de l'Article L34-5 CPCE, le RGPD impose des obligations générales sur le traitement des données personnelles. Ces obligations s'appliquent dès que vous collectez, stockez ou traitez des données sur des individus, même dans un contexte B2B professionnel.
Le registre des traitements
Toute organisation qui traite des données personnelles doit tenir un registre des activités de traitement (Article 30 du RGPD). Pour une activité de prospection B2B, ce registre doit documenter :
- La **finalité** du traitement (prospection commerciale)
- Les **catégories de données** (nom, email pro, téléphone, poste)
- La **durée de conservation** (3 ans maximum recommandé pour la prospection inactive)
- Les **sources** des données (API Gouv, site web, enrichissement)
- Les **sous-traitants** éventuels (CRM, plateforme d'emailing)
Les droits des personnes que vous devez respecter
Chaque contact prospecté dispose de droits que vous devez être en mesure d'honorer dans un délai d'un mois ([CNIL guide droits des personnes](https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles)) :
| Droit | Ce qu'il implique | Délai de réponse |
|---|---|---|
| Droit d'accès | Fournir une copie des données détenues | 1 mois |
| Droit de rectification | Corriger les données inexactes | 1 mois |
| Droit à l'effacement | Supprimer toutes les données | 1 mois |
| Droit d'opposition | Cesser tout contact et traitement | Immédiat + 1 mois confirmation |
| Droit à la portabilité | Exporter les données dans un format lisible | 1 mois |
DPO : êtes-vous concerné ?
La désignation d'un Délégué à la Protection des Données (DPO) est obligatoire dans trois cas : organisme public, traitement à grande échelle de données sensibles, ou surveillance systématique à grande échelle. Pour une PME qui prospecte en B2B, la désignation d'un DPO n'est généralement pas obligatoire — mais recommandée au-delà de 250 salariés.
---
Comment vérifier la conformité RGPD de votre campagne de prospection ?
Avant chaque campagne, vérifiez ces points. Cette liste couvre les critères que la CNIL examine en priorité lors des contrôles.
Avant l'envoi
- [ ] Tous les emails sont des adresses professionnelles (pas de @gmail, @yahoo, @orange...)
- [ ] L'offre est clairement liée à l'activité professionnelle du prospect
- [ ] La source des données est tracée et légale (API Gouv, SIRENE, site web...)
- [ ] Le lien de désinscription est visible et fonctionnel
- [ ] L'objet de l'email est honnête et non trompeur
- [ ] Les coordonnées complètes de l'expéditeur figurent dans le pied de page
- [ ] Les personnes déjà désinscrites sont exclues de la liste
Pendant la campagne
- [ ] Traitement des désinscriptions en temps réel (ou sous 24h maximum)
- [ ] Logs des envois conservés pour justification éventuelle
- [ ] Taux de rebond surveillé (liste propre = moins de 5% de hard bounce)
- [ ] SPF et DKIM configurés sur votre domaine d'envoi
Après la campagne
- [ ] Archive des statistiques d'envoi conservée
- [ ] Suppressions appliquées dans tous les systèmes (CRM, plateforme emailing)
- [ ] Registre des traitements mis à jour si nouvelle source de données
- [ ] Réponses aux demandes de droits RGPD traitées dans les délais
---
Questions fréquentes sur le RGPD et la prospection B2B
Le consentement est-il obligatoire pour la prospection B2B en France ?
Non. Pour les emails professionnels envoyés à des destinataires B2B, le consentement préalable n'est pas requis en droit français (Article L34-5 CPCE). L'offre doit être liée à l'activité professionnelle du destinataire, un lien de désinscription doit être inclus, et les données doivent avoir été collectées légalement. Cette règle s'applique uniquement aux emails se terminant par le domaine de l'entreprise (ex : @entreprise.fr), jamais aux emails personnels.
Quelle est la durée maximale de conservation des données de prospection ?
La CNIL recommande de ne pas conserver les données de prospects inactifs au-delà de 3 ans à compter du dernier contact. Après ce délai, les données doivent être supprimées ou faire l'objet d'une nouvelle prise de contact pour vérifier l'intérêt du prospect. Les données des personnes désinscrites doivent être supprimées immédiatement, ou archivées en liste de suppression pour éviter de les recontacter par erreur.
Puis-je utiliser des emails scrapés depuis LinkedIn ?
Oui, pour des contacts professionnels (emails pro uniquement) dont les informations sont publiquement accessibles sur leur profil LinkedIn. La condition est que l'email soit un email professionnel lié à leur activité, et non un email personnel. Le scraping d'emails personnels ou de données privées (non publiques) est interdit. Les conditions d'utilisation de LinkedIn interdisent également le scraping massif via des outils automatisés.
Puis-je acheter une base de données emails B2B ?
Oui, à condition que le vendeur garantisse que les données ont été collectées conformément au RGPD et à l'Article L34-5 CPCE. Exigez : la source des données, la date de collecte, et la preuve que les destinataires sont bien des professionnels contactés dans le cadre de leur activité. En cas de contrôle CNIL, vous êtes responsable de la conformité des données que vous utilisez, même si elles proviennent d'un tiers.
Quelle différence entre une amende RGPD et une amende CPCE pour prospection ?
Ce sont deux régimes distincts et cumulables. L'Article L34-5 CPCE prévoit des amendes spécifiques à la prospection électronique (jusqu'à 375 000 € pour une personne morale). Le RGPD Article 83(5) prévoit des amendes pour violations des principes de base du traitement des données (jusqu'à 20 000 000 € ou 4% du CA mondial). Une campagne non conforme peut théoriquement déclencher les deux types de sanctions simultanément.
Comment prouver la conformité d'une campagne en cas de contrôle CNIL ?
Conservez pendant au moins 3 ans : la source des données (URL API Gouv, date d'export), la liste des destinataires avec leur email et l'entreprise associée, les logs d'envoi avec horodatage, les preuves des désinscriptions traitées, et une copie de l'email envoyé. En cas de réclamation, la CNIL peut demander ces éléments dans un délai de 48 heures.
---
Ressources officielles
- [CNIL — Prospection commerciale par voie électronique](https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique)
- [CNIL — Rapport annuel 2023](https://www.cnil.fr/fr/rapport-annuel)
- [CNIL — Délibérations et sanctions](https://www.cnil.fr/fr/deliberations)
- [Légifrance — Article L34-5 CPCE](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000028345210)
- [EUR-Lex — RGPD Article 83 (texte intégral)](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679)
- [API Gouv — API Entreprises (SIRENE)](https://api.gouv.fr/les-api/api-sirene-de-l-insee)
- [Data.gouv.fr — Base SIRENE](https://www.data.gouv.fr/fr/datasets/base-sirene-des-entreprises-et-de-leurs-etablissements/)
- [Meilleur email finder France : quel outil choisir ?](/blog/meilleur-email-finder-france)
---
En savoir plus sur la [prospection B2B en France](/blog/guide-prospection-b2b-2025), les [bases de données de prospection](/blog/base-de-donnees-prospection-guide), l'[achat de base de données email B2B](/blog/achat-base-donnees-email-b2b), les [email finders en France](/blog/email-finder-comparatif) ou la [création d'un fichier de prospection](/blog/fichier-prospection-b2b).
*Guide mis à jour le 4 mai 2026. Ce contenu est informatif et ne constitue pas un conseil juridique. Pour une analyse spécifique à votre situation, consultez un avocat spécialisé en droit du numérique.*
Prêt à mettre ces conseils en pratique ?
Créez votre compte gratuit et obtenez 50 leads B2B français pour tester nos méthodes de prospection.
Articles similaires
Prix d'une Base de Données B2B en 2026 : Comparatif Complet
Prix base de données B2B France 2026 : abonnements 24-1 000€/mois, crédits, paiement au résultat. Comparez Corporama, Kompass, Dropcontact. Guide complet.
Trouver l'Adresse Mail d'une Entreprise en France (2026)
5 méthodes pour trouver l'email d'une entreprise française : site web, Google, SIRENE, email finder. 21% des emails B2B rebondissent sans vérification.
Acheter Base de Données Email B2B : Prix, Critères (2026)
Achat base de données email B2B : fourchettes de prix réelles (500-5 000€), 5 critères RGPD, et pièges à éviter. Guide 2026 pour une prospection rentable.