RGPD & cold outreach B2B : ce qui est légal en 2026

Le RGPD autorise la prospection B2B sous le régime de l'intérêt légitime (Article 6.1.f), à condition que : le message soit en rapport direct avec la fonction du destinataire, l'identité de l'expéditeur soit claire, un droit d'opposition simple soit proposé.

Concrètement : contacter un DAF pour lui proposer un logiciel de gestion financière = légitime. Contacter le même DAF pour lui vendre un voyage = non-légitime.

1. Identité claire : nom, fonction, entreprise, adresse physique visibles dans chaque email.

2. Opt-out immédiat : lien 'se désinscrire' fonctionnel. Pas de forçage à répondre pour sortir.

3. Pertinence métier : pitch lié à la fonction et au secteur du prospect.

4. Fréquence raisonnable : max 3 à 5 touches sur 30 jours, puis stop définitif si pas de réponse.

5. Registre de traitement : logguer les bases légales utilisées, conserver les preuves d'opt-out.

Achat de bases qualifiées B2C pour faire du B2B : interdit, même si les adresses sont 'pro'.

Scraping d'emails personnels (@gmail, @outlook) : interdit, c'est de la donnée personnelle stricte.

Enrichissement via sources illégales (leaks, bases piratées) : interdit et dangereux.

Non-réponse aux opt-out : amende CNIL jusqu'à 4% du CA annuel.

Toutes les sources de données sont légitimes (LinkedIn API officielle, Pappers, SIRENE publics, Apollo pro tier). Chaque séquence inclut automatiquement le lien d'opt-out. Les opt-outs sont centralisés et jamais recontactés. Registre de traitement auto-généré et exportable.