La prospection email est l’un des canaux B2B les plus efficaces — mais est-elle légale au regard du RGPD ? C’est la question que se posent de plus en plus de commercial(e)s et entrepreneurs depuis l’entrée en vigueur du Règlement Général sur la Protection des Données en 2018. La réponse courte : oui, la prospection email B2B est légale sous le RGPD, mais sous conditions strictes. Ce guide vous explique tout ce que vous devez savoir pour prospecter en conformité en 2026.

RGPD et prospection email B2B : les bases légales

Le RGPD (Règlement Général sur la Protection des Données) encadre l’utilisation des données personnelles, dont les adresses email professionnelles. Contrairement à une idée reçue, il n’interdit pas la prospection email B2B — mais il exige que vous ayez une base légale valide pour contacter quelqu’un.

Pour la prospection email en B2B, deux bases légales sont couramment utilisées :

  • L’intérêt légitime (article 6.1.f du RGPD) : vous pouvez contacter un professionnel si vous avez un intérêt légitime à le faire, que cet intérêt ne prime pas sur les droits fondamentaux de la personne, et que votre démarche est pertinente au regard de ses fonctions. C’est la base légale la plus utilisée en prospection B2B sortante.
  • Le consentement (article 6.1.a du RGPD) : si la personne a explicitement consenti à recevoir vos emails marketing. C’est obligatoire en B2C et recommandé pour les listes opt-in.

En pratique, la prospection email vers un DRH d’une PME au sujet d’un logiciel RH entre parfaitement dans le cadre de l’intérêt légitime au titre du RGPD. En revanche, envoyer des emails commerciaux non sollicités à des particuliers sans consentement préalable est illégal.

Les obligations RGPD en prospection email : la checklist

Pour être conforme au RGPD dans votre prospection email, voici ce que vous devez faire systématiquement :

1. Informer le prospect de l’utilisation de ses données

Dès le premier email, le destinataire doit être informé de :

  • L’identité de votre société (qui envoie ?)
  • La finalité du traitement de ses données (vous le contactez pour lui proposer X)
  • Ses droits : accès, rectification, effacement, opposition
  • Comment exercer ces droits (adresse email de contact ou formulaire)

En pratique, un court paragraphe en bas de votre email de prospection suffit : « Conformément au RGPD, vos données sont utilisées uniquement pour cette prise de contact. Pour vous désinscrire ou exercer vos droits, répondez à cet email. »

2. Permettre le désabonnement facilement

Chaque email de prospection doit inclure un moyen simple de se désabonner. Un lien « se désinscrire » ou une instruction claire (« répondez ‘stop’ pour ne plus recevoir nos emails ») est obligatoire. Gérez ces désabonnements rigoureusement : recontacter une personne qui a demandé à être supprimée est une violation directe du RGPD.

3. Documenter votre base légale

En cas de contrôle de la CNIL, vous devez être capable de démontrer sur quelle base légale vous avez contacté chaque prospect. Documentez votre source de données, votre critère de pertinence (pourquoi cette personne est dans votre cible), et votre motif d’intérêt légitime.

4. Ne pas traiter de données sensibles

Les données sensibles (santé, opinions politiques, orientation sexuelle, etc.) font l’objet de protections renforcées sous le RGPD. En prospection email B2B standard, vous ne devriez pas avoir à les manipuler.

5. Sécuriser vos listes de prospects

Vos listes email sont des fichiers de données personnelles. Stockez-les de manière sécurisée, limitez les accès, et prévoyez une politique de rétention (durée de conservation des données inactives). La CNIL recommande de purger les contacts qui n’ont pas répondu à vos campagnes au bout de 3 ans maximum.

RGPD et prospection email : les erreurs à éviter absolument

Les pratiques qui exposent votre entreprise à des sanctions CNIL dans le cadre du RGPD et de la prospection email :

  • Acheter des listes email sans vérifier leur conformité RGPD : le vendeur de liste doit garantir que les données ont été collectées légalement. Si ce n’est pas le cas, la responsabilité est partagée.
  • Contacter des particuliers sans consentement préalable : en B2C, l’intérêt légitime seul ne suffit pas. Un opt-in est obligatoire (directive ePrivacy transposée par la loi française).
  • Recontacter après un désabonnement : c’est une faute grave, constitutive d’une violation du RGPD.
  • Ne pas honorer les demandes d’accès ou d’effacement : le RGPD donne aux individus le droit de demander quelles données vous détenez sur eux et d’exiger leur suppression. Vous avez 30 jours pour répondre.
  • Utiliser des adresses email personnelles scrappées sans base légale claire : scrapper LinkedIn ou des sites web est une pratique sensible. Consultez notre guide sur le scraping email légal pour agir dans les limites légales.

RGPD vs loi Hammel : quelle différence en France ?

En France, la prospection email est également régie par l’article L34-5 du Code des postes et communications électroniques (souvent appelée « loi Hammel » ou « loi LCEN »). Elle distingue :

  • Prospection B2C : opt-in obligatoire — le particulier doit avoir explicitement consenti AVANT de recevoir un email commercial.
  • Prospection B2B : opt-out possible — vous pouvez contacter un professionnel si l’email est en rapport avec sa profession, à condition de lui permettre de s’opposer facilement.

Le RGPD et cette loi nationale se complètent : la loi Hammel encadre spécifiquement la prospection email commerciale, tandis que le RGPD encadre le traitement des données personnelles au sens large.

Bonnes pratiques pour une prospection email RGPD-friendly en 2026

Pour prospecter efficacement ET en conformité :

  • Ciblez précisément : une prospection email ultra-ciblée est à la fois plus efficace et plus conforme au RGPD (l’intérêt légitime est plus facile à justifier avec un ciblage précis).
  • Utilisez des outils conformes : privilégiez des plateformes d’emailing qui intègrent la gestion des désabonnements, la traçabilité du consentement, et les outils de documentation RGPD.
  • Nettoyez régulièrement vos listes : supprimez les contacts inactifs, honorez les demandes de suppression, et ne conservez pas de données au-delà de votre durée légale.
  • Formez votre équipe : la conformité RGPD en prospection email est une responsabilité collective. Vos commerciaux doivent connaître les règles de base.

Conclusion

Le RGPD et la prospection email peuvent coexister parfaitement, à condition de connaître les règles du jeu. La clé : base légale claire, information transparente, gestion rigoureuse des désabonnements. Une prospection email conforme au RGPD n’est pas seulement une obligation légale — c’est aussi une marque de professionnalisme qui renforce la confiance de vos prospects et protège la réputation de votre marque.

Sanctions RGPD en prospection email : les risques réels

Comprendre les risques concrets est souvent le meilleur motivateur pour mettre en place une prospection email conforme au RGPD. La CNIL dispose de pouvoirs de sanction importants :

  • Amendes administratives : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (le montant le plus élevé s’applique). En pratique, pour une PME, les sanctions oscillent entre quelques milliers et quelques centaines de milliers d’euros.
  • Mises en demeure : la CNIL peut exiger que vous cessiez certaines pratiques sous un délai imposé.
  • Publicité des sanctions : pour les manquements graves, la CNIL peut rendre sa décision publique — un risque de réputation non négligeable.

En pratique, la CNIL privilégie d’abord la mise en conformité sur les sanctions directes, surtout pour les PME de bonne foi. Mais les plaintes de prospects mécontents peuvent déclencher des contrôles. Une prospection email respectueuse du RGPD est donc aussi une protection contre ces risques.

Template d’email de prospection RGPD-compliant

Voici un modèle de footer RGPD à intégrer dans chaque email de prospection :

« Vous recevez cet email dans le cadre de notre activité commerciale B2B. Vos coordonnées professionnelles ont été collectées via [source]. Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez d’un droit d’accès, de rectification et d’opposition à l’utilisation de vos données. Pour vous désinscrire ou exercer vos droits, répondez à cet email avec la mention ‘STOP’ ou écrivez à [email DPO/contact]. [Nom de la société] — [Adresse] — [SIRET]. »

Ce footer, associé à une séquence de prospection bien construite, vous permet de prospecter avec confiance, efficacité, et en totale conformité avec le RGPD en vigueur en 2026.