RGPD et prospection email en 2026 : ce que vous devez savoir

La prospection email B2B est légale en France. Beaucoup d'équipes commerciales l'ignorent — soit elles ne prospectent pas par peur infondée, soit elles prospectent sans aucune précaution et s'exposent à des sanctions réelles.

La réalité est entre les deux : c'est légal, mais encadré. Voici ce que vous devez savoir pour prospecter sereinement en 2026.

La base légale : intérêt légitime vs consentement

Le RGPD (Règlement Général sur la Protection des Données) distingue plusieurs bases légales pour traiter des données personnelles. En matière de prospection email, deux bases sont pertinentes :

Le consentement

Le destinataire a explicitement accepté de recevoir vos emails commerciaux. C'est la base légale la plus robuste — mais aussi la plus contraignante à obtenir.

Requis pour : les particuliers (B2C), et les professionnels contactés sur leur adresse personnelle (Gmail, Yahoo).

L'intérêt légitime (Article 6(1)(f) RGPD)

Vous avez un intérêt commercial légitime à contacter ce professionnel, et cet intérêt est proportionné — c'est-à-dire qu'il ne prend pas le dessus sur les droits fondamentaux du destinataire.

Applicable en B2B sous conditions :

1. Vous contactez un professionnel sur son email professionnel (nom@entreprise.fr)
2. Votre offre est en lien avec ses fonctions professionnelles
3. Vous lui donnez la possibilité de s'opposer facilement (opt-out)
4. Vous n'utilisez pas de données sensibles

Important : l'intérêt légitime n'est pas une carte blanche. Il nécessite un test de proportionnalité — vous devez pouvoir démontrer que votre intérêt justifie le contact et qu'il est raisonnablement attendu par le prospect.

Règles pratiques en France

La CNIL (Commission Nationale de l'Informatique et des Libertés) précise les règles applicables à la prospection électronique B2B :

Ce que vous pouvez faire :

• Envoyer des emails de prospection à des adresses professionnelles (nom@entreprise.fr)
• Utiliser des données publiquement accessibles (LinkedIn, site web, annuaires professionnels)
• Contacter des professionnels dont l'offre est en lien avec leur secteur ou leurs fonctions

Ce que vous ne pouvez pas faire :

• Contacter des personnes inscrites sur liste d'opposition (peu courant en B2B mais à vérifier)
• Ignorer les demandes d'opt-out
• Utiliser des données achetées sans vérification de leur conformité
• Envoyer des emails sans mention de l'identité de l'expéditeur ni de lien de désabonnement

La règle pour les TPE/artisans : attention — une adresse plombier.dupont@gmail.com est une adresse personnelle, même si la personne est un professionnel. Le consentement est requis dans ce cas.

Mise en conformité d'une liste de prospection

Voici les étapes pour rendre une liste conforme avant utilisation :

Étape 1 — Vérifier la source des données Documentez l'origine de chaque contact (LinkedIn manuel, Sales Navigator, Hunter.io, salon professionnel). En cas de contrôle CNIL, vous devez pouvoir le prouver.

Étape 2 — Vérifier le type d'adresse email Écartez les adresses personnelles (Gmail, Yahoo, Hotmail) pour la prospection froide sans consentement.

Étape 3 — Vérifier la pertinence de l'offre Votre offre est-elle raisonnablement liée au secteur ou aux fonctions du prospect ? Si vous vendez un logiciel de comptabilité à un DSI IT, la pertinence est discutable.

Étape 4 — Inclure un opt-out dans chaque email Chaque email de prospection doit contenir un moyen simple de se désabonner : un lien, ou simplement la possibilité de répondre "stop". Vous devez honorer ces demandes dans les 72h.

Étape 5 — Ne pas surprospecter les mêmes contacts La CNIL n'a pas fixé de limite de fréquence précise, mais un contact toutes les semaines pendant 6 mois est disproportionné et susceptible d'être qualifié de harcèlement.

Sanctions CNIL : ce qui s'est passé récemment

La CNIL a significativement intensifié ses contrôles en matière de prospection électronique depuis 2022. Quelques exemples récents :

• Des sanctions allant de quelques milliers à plusieurs centaines de milliers d'euros ont été prononcées contre des entreprises qui envoyaient des emails sans consentement à des particuliers
• La CNIL a ciblé plusieurs acteurs B2B pour défaut de mention d'opt-out et non-respect des demandes de désabonnement
• Les plaintes sont le principal déclencheur de contrôle — chaque plainte peut mener à une enquête

Le risque pratique pour une PME : moins qu'une grande entreprise, mais pas nul. Le respect des règles de base (opt-out, email professionnel, pertinence de l'offre) suffit à éloigner 99% des risques.

InfoFlux et la gestion du consentement

InfoFlux intègre des fonctionnalités qui facilitent la conformité RGPD/LPD pour les équipes commerciales :

• Gestion des désabonnements : tout prospect ayant demandé un opt-out est automatiquement exclu des séquences futures
• Source des données : chaque fiche prospect permet de documenter l'origine du contact
• Journalisation des interactions : toutes les communications sont tracées, ce qui facilite la démonstration de bonne foi en cas de contrôle
• Hébergement Infomaniak en Suisse : les données ne transitent pas vers des pays tiers non adéquats

La conformité RGPD n'est pas une contrainte à contourner — c'est une pratique commerciale saine qui protège aussi votre réputation auprès de vos prospects.

Contacter l'équipe InfoFlux pour un accompagnement conformité →