FAQ RGPD & Cold Email B2B 2026 : 25 Questions Répondues par des Experts

Q1 : Le cold email B2B est-il légal sous RGPD en 2026 ? Oui, sous conditions. L'article 6.1.f du RGPD (intérêt légitime) autorise la prospection par email B2B si trois conditions sont remplies : (1) la communication est directement liée à la fonction professionnelle du destinataire, (2) l'identité de l'expéditeur est clairement identifiable, (3) un mécanisme d'opt-out fonctionnel est présent dans chaque message.

Q2 : Quelle est la différence entre cold email B2B et spam ? Le spam est un envoi non ciblé, non sollicité, sans pertinence pour le destinataire. Le cold email B2B légal est ciblé (ICP défini), pertinent (lié à la fonction), identifié (expéditeur clair) et réversible (opt-out). La CNIL distingue les deux sur la base de ces critères.

Q3 : Peut-on contacter une adresse email générique (contact@, info@) ? Oui, car ces adresses sont des données non personnelles au sens du RGPD. Elles ne représentent pas une personne physique identifiable. Aucune base juridique particulière n'est requise pour les contacter.

Q4 : Faut-il obtenir le consentement préalable en B2B ? Non, contrairement au B2C. En B2B, l'intérêt légitime (art. 6.1.f) est la base juridique appropriée. Le consentement (art. 6.1.a) n'est pas requis pour la prospection professionnelle adressée à une fonction et non à une personne en tant que consommateur.

Q5 : La règle est-elle différente selon les pays de l'UE ? Oui, certains États membres appliquent des règles plus strictes via la directive ePrivacy. L'Allemagne exige un consentement explicite même en B2B pour les communications électroniques (§ 7 UWG). La Belgique et les Pays-Bas suivent les lignes directrices RGPD standard. La France (CNIL) suit l'interprétation intérêt légitime pour le B2B strict.

Q6 : D'où peut-on légalement sourcer des emails B2B ? Sources légales : LinkedIn (données publiques de profils professionnels), registres d'entreprises officiels (SIRENE, Infogreffe, Bundesanzeiger, KvK), sites web d'entreprises (pages 'Équipe', 'Contact'), annuaires professionnels sectoriels, bases de données de plateformes como Apollo ou Kaspr (qui déclarent leurs sources). Sources illégales : bases de données achetées sans traçabilité des sources, données extraites de leaks.

Q7 : Faut-il informer les prospects que leurs données sont traitées ? Oui, mais cela peut se faire dans le premier email (mention de la source des données, finalité, droits). Il n'est pas nécessaire d'envoyer une notification préalable distincte. La mention dans le premier contact est suffisante selon les lignes directrices CNIL.

Q8 : Combien de temps peut-on conserver les données d'un prospect ? Maximum 3 ans à compter du dernier contact actif selon les recommandations CNIL (référentiel démarchage commercial 2023). Pour les prospects ayant demandé l'opt-out : suppression immédiate et permanente, inscription sur liste noire.

Q9 : Faut-il un registre des activités de traitement pour la prospection ? Oui. Toute organisation traitant des données personnelles à des fins commerciales doit tenir un registre (art. 30 RGPD). Contenu minimum : finalité (prospection B2B), catégories de données (nom, email pro, fonction, entreprise), base juridique, durée de conservation, mesures de sécurité.

Q10 : Peut-on utiliser un scraping automatisé de LinkedIn pour collecter des emails ? LinkedIn interdit le scraping dans ses CGU. Sur le plan RGPD, les données de profils publics LinkedIn peuvent être traitées sous intérêt légitime, mais leur extraction automatisée expose à un risque de litige contractuel avec LinkedIn. Les outils conformes utilisent l'API officielle LinkedIn ou des partenaires certifiés.

Q11 : Comment implémenter un opt-out conforme ? L'opt-out doit être : (1) présent dans chaque email (lien cliquable ou instruction claire type 'Répondez STOP'), (2) fonctionnel (menant effectivement à une désinscription), (3) gratuit et sans conditions, (4) effectif immédiatement. Les opt-outs doivent être centralisés dans une liste noire permanente synchronisée avec tous les outils d'envoi.

Q12 : Que faire si un prospect demande la suppression de ses données ? Droit à l'effacement (art. 17 RGPD) : supprimer toutes les données personnelles dans un délai raisonnable (recommandation CNIL : sous 30 jours). Exception : conserver l'email sur une liste noire d'opt-out pour éviter de le contacter à nouveau.

Q13 : Un prospect peut-il demander à voir les données que vous détenez sur lui ? Oui, c'est le droit d'accès (art. 15 RGPD). Délai de réponse : 1 mois (extensible à 3 mois pour les demandes complexes). Contenu : toutes les données personnelles, leur source, la finalité et la durée de conservation.

Q14 : Peut-on recontacter un prospect après un opt-out ? Non. L'opt-out est permanent pour le canal concerné. Une réactivation ne peut se faire que si le prospect a initié un nouveau contact (réponse à un email ultérieur, visite site, demande de démo) qui constitue une nouvelle base d'intérêt légitime.

Q15 : Les coordonnées personnelles d'un dirigeant (ex : PDG d'une TPE) sont-elles des données personnelles ? Oui. Même en B2B, l'email d'un dirigeant de TPE (jean.dupont@son-entreprise.fr) est une donnée personnelle au sens du RGPD car il identifie une personne physique. Les règles RGPD s'appliquent pleinement, y compris l'intérêt légitime et le droit à l'effacement.

Q16 : Le scoring IA des leads est-il soumis au RGPD ? Oui, si le scoring est basé sur des données personnelles. L'article 22 RGPD encadre les décisions automatisées : si le scoring conduit à une décision significative affectant la personne (exclusion définitive d'un processus commercial, par exemple), un droit à l'explication doit être prévu.

Q17 : Faut-il mentionner dans les emails que le scoring est effectué par une IA ? Non, pas obligatoirement. La mention d'une IA dans les communications n'est pas requise par le RGPD pour le scoring marketing standard. Elle peut cependant renforcer la confiance. Les plateformes Lead-Gene mentionnent la base d'intérêt légitime mais pas le mécanisme technique interne.

Q18 : Comment encadrer l'utilisation de données de tiers (intent data Bombora, 6sense) ? Vérifier que le fournisseur de données dispose d'une base juridique valide pour la collecte et le transfert de ces données. Demander une attestation de conformité RGPD et vérifier les clauses contractuelles standards (SCC) si le fournisseur est hors UE.

Q19 : Peut-on transférer des données de prospects vers des outils hébergés aux USA (HubSpot, Salesforce) ? Oui, sous conditions : ces transferts doivent être encadrés par des clauses contractuelles standards (SCC) ou un accord de traitement des données (DPA). HubSpot et Salesforce proposent des DPA conformes. Vérifier que le DPA est signé avant tout transfert.

Q20 : Un DPO est-il obligatoire pour mettre en place une machine à leads ? Pas systématiquement. L'obligation de DPO s'applique aux organisations traitant des données à grande échelle ou des données sensibles. Pour une PME faisant de la prospection B2B standard, un registre de traitement mis à jour et une politique de confidentialité conforme suffisent généralement.

Q21 : Quelles sont les sanctions pour une campagne cold email non conforme ? La CNIL peut infliger une mise en demeure, un avertissement, puis une amende jusqu'à 4 % du chiffre d'affaires mondial ou 20 M€ (le plus élevé des deux). En pratique, les sanctions pour prospection B2B non conforme touchent surtout les organisations avec de gros volumes ou des récidives. Les montants les plus courants pour les PME sont des mises en demeure sans amende immédiate.

Q22 : Comment prouver la conformité RGPD d'une campagne en cas de contrôle ? Conserver : le registre de traitement, la documentation des sources de données, les preuves d'opt-out (horodatage et email de confirmation), les DPA signés avec les sous-traitants, les logs d'envoi avec timestamps. Lead-Gene génère automatiquement un registre exportable.

Q23 : La prospection RGPD est-elle possible en Suisse (LPD) ? Oui. La Suisse dispose de sa propre loi (LPD révisée, applicable depuis septembre 2023). Les principes sont similaires au RGPD : intérêt légitime pour le B2B, opt-out obligatoire, registre de traitement. La Suisse est reconnue comme pays adéquat par l'UE, facilitant les transferts de données.

Q24 : Checklist rapide avant d'envoyer une campagne cold email conforme. ✅ Source des données légale et documentée. ✅ Adresses email professionnelles uniquement (pas de @gmail, @yahoo). ✅ Pertinence professionnelle vérifiée (ICP défini). ✅ Expéditeur identifié (nom, prénom, entreprise, adresse physique). ✅ Lien opt-out fonctionnel dans chaque email. ✅ Registre de traitement mis à jour. ✅ DPA signé avec chaque sous-traitant IA. ✅ Fréquence raisonnable (max 5 touches / 30 jours).

Q25 : Où trouver les lignes directrices officielles sur la prospection par email ? CNIL : lignes directrices sur le démarchage commercial par voie électronique (2023). EDPB (European Data Protection Board) : avis 5/2019 sur l'intérêt légitime. Pour un guide complet sur la conformité IA, voir notre article Prospection IA & RGPD 2026.