Prospection IA RGPD : Guide Conformité CNIL 2026

L'article 6.1.f du RGPD autorise le traitement de données personnelles lorsqu'il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement. La CNIL, dans sa recommandation prospection commerciale (mise à jour 2024), confirme que la prospection B2B par email peut s'appuyer sur cette base légale à trois conditions cumulatives : le prospect est une personne morale ou une personne physique agissant en qualité professionnelle, le message est directement lié à ses fonctions, et le droit d'opposition est clairement proposé.

En pratique, contacter un directeur des achats pour lui proposer une solution d'optimisation des achats relève de l'intérêt légitime. Contacter un directeur artistique pour lui vendre un logiciel de comptabilité ne l'est pas — le lien fonctionnel manque. Ce critère de pertinence métier est le premier filtre que la CNIL examine lors d'un contrôle.

La distinction opt-in versus opt-out est souvent mal comprise en B2B. Contrairement au B2C où le consentement (opt-in) est la règle, le B2B opère sous régime d'opt-out : vous pouvez prospecter sans consentement préalable, à condition que l'opt-out soit simple, immédiat et définitivement respecté. L'EDPB (European Data Protection Board) a confirmé cette interprétation dans ses Guidelines on the use of personal data in the context of direct marketing (version 2.0, 2024).

Chaque email de prospection doit comporter, de manière lisible : l'identité de l'expéditeur (nom, fonction, entreprise, adresse physique), la base légale du traitement (intérêt légitime, sans obligation de citer l'article mais recommandé), un lien de désinscription fonctionnel en un clic, et l'information que les données ont été collectées depuis une source identifiable (ex : 'votre profil LinkedIn public' ou 'le registre SIRENE INSEE').

La CNIL précise dans sa délibération n° 2024-018 relative aux pratiques de prospection commerciale que l'absence de mention de la source de collecte des données constitue un manquement à l'article 14 du RGPD, passible d'un avertissement ou d'une mise en demeure. Les sanctions administratives pour ce type de manquement ont représenté 34 % des sanctions CNIL prononcées en 2024.

Un système de scoring IA qui attribue automatiquement un score à des personnes physiques (même en contexte B2B) peut relever de l'obligation de réaliser une Analyse d'Impact relative à la Protection des Données (DPIA, article 35 RGPD). La CNIL considère qu'une DPIA est obligatoire dès lors que le traitement implique une 'évaluation systématique et approfondie d'aspects personnels'.

Pour les systèmes de scoring commercial B2B, la CNIL admet une interprétation nuancée : si le scoring porte sur des données firmographiques (taille de l'entreprise, secteur, données INSEE) et des signaux comportementaux professionnels (activité LinkedIn publique, offres d'emploi publiées), sans traiter de données sensibles et sans engendrer de décision automatisée à effets juridiques, la DPIA n'est pas obligatoire mais recommandée. En revanche, si le score déclenche automatiquement une exclusion définitive d'un individu sans supervision humaine, la DPIA devient obligatoire.

Chez Lead-Gene, le scoring IA sur 12 critères est documenté dans un registre de traitement conforme à l'article 30 du RGPD. Chaque critère, sa source de données et sa pondération sont consignés. Un humain valide systématiquement les exclusions de prospects avant qu'elles deviennent définitives, ce qui place le traitement hors du champ de l'article 22 (décision entièrement automatisée).

L'opt-out doit être opérationnel dans un délai de 72 heures maximum selon les recommandations CNIL 2024. Dans la pratique, un opt-out reçu le vendredi doit être effectif avant le lundi. Toute relance après un opt-out exprimé constitue une violation caractérisée, susceptible d'une amende pouvant atteindre 4 % du chiffre d'affaires mondial annuel (article 83 RGPD). La CNIL a prononcé en 2024 une amende de 800 000 € contre un acteur de la prospection B2B pour non-respect systématique des opt-out.

La durée de conservation des données de prospection en B2B est limitée à 3 ans à compter du dernier contact ou de la fin de la relation commerciale, selon la recommandation CNIL. Au-delà, les données doivent être supprimées ou anonymisées. Les listes de opt-out, elles, doivent être conservées indéfiniment pour éviter de recontacter les personnes concernées — c'est la 'liste noire' que tout système conforme doit maintenir.

Pour calibrer le risque, voici des sanctions prononcées ou confirmées entre 2024 et début 2026 dans le domaine de la prospection commerciale : 800 000 € (acteur prospection B2B, non-respect opt-out systématique, délibération 2024-019), 3,2 millions € (e-commerçant B2C ayant utilisé des bases B2B sans vérification de la base légale, 2024), 150 000 € (startup SaaS prospection automatisée sans mention légale ni registre de traitement, 2025), 60 000 € (cabinet de conseil ayant conservé des données de prospects au-delà de 3 ans, 2025).

La CNIL a par ailleurs augmenté ses contrôles sur les systèmes automatisés depuis la publication de son plan stratégique 2024-2028, qui identifie explicitement 'les traitements d'IA à des fins commerciales' comme secteur prioritaire d'investigation. Les contrôles en ligne (sans annonce préalable, via test de séquences cold email) représentent désormais 31 % de l'ensemble des contrôles.

Pour les entreprises qui prospectent simultanément en France (RGPD) et en Suisse (LPD révisée, en vigueur depuis septembre 2023), deux régimes coexistent. La Préposée fédérale à la protection des données et à la transparence (PFPDT, anciennement PFPD) a précisé dans ses lignes directrices 2024 que la prospection B2B par email est autorisée sous la nLPD, sur la même base que l'intérêt légitime du RGPD.

Différence structurelle à noter : la nLPD suisse ne prévoit pas de sanctions administratives automatiques comme le RGPD — les violations peuvent entraîner des sanctions pénales (amende jusqu'à 250 000 CHF) visant les personnes physiques responsables du traitement, pas uniquement les entités juridiques. Ce régime pénal crée une responsabilité directe des dirigeants plus importante qu'en France. Pour les entreprises opérant des deux côtés de la frontière, il est recommandé de déployer le niveau de conformité le plus élevé (RGPD) comme standard unique appliqué également en Suisse.